![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Setzt jemand aus der Leserschaft Progress OpenEdge, entweder als Authentication Gateway oder AdminServer ein? Es gibt eine kritische Schwachstelle (CVE-2024-1403) in diesem Produkt (CVSS 10.0), die die Umgehung der Authentifizierung erm\u00f6glicht. Nun ist ein Exploit zur Ausnutzung dieser Schwachstelle bekannt geworden. Daher ist dringend eine Sicherheitsaktualisierung der Produkte angeraten, um diese Schwachstelle zu schlie\u00dfen.<\/p>\n
<\/p>\n
Zu den wichtigsten Produkten z\u00e4hlen ein Datenbanksystem und eine in das DBMS integrierte Programmiersprache der vierten Generation. Die aktuelle Produktlinie hei\u00dft Progress OpenEdge<\/i>. Weltweit sollen nach Angaben des Unternehmens 3 Millionen Anwender in 60.000 Unternehmen Software-Anwendungen einsetzen, die auf Progress-Technologie basieren. Der gesamte Umsatz einschlie\u00dflich Anwendungen und Dienstleistungen des Anbieters betrage \u00fcber 5 Milliarden US-Dollar, hei\u00dft es in der Wikipedia. <\/p>\n In der Wikipedia hei\u00dft es, dass Progress durch Firmenzuk\u00e4ufe auch Inhaber der Produkte von Telerik (seit 2014), Ipswitch (Anbieter der Daten\u00fcbertragungsl\u00f6sungen MOVEit Transfer und MOVEit Cloud), Chef, Kemp (Anbieter eines Load Balancers f\u00fcr HTTP\/S, Exchange, S4B, IIS, Apache), Flowmon, MarkLogic und Semaphore wurde. Gerade MOVEit Transfer war ja 2023 f\u00fcr gravierende Schwachstellen mit Datenl\u00fccken aufgefallen. <\/p>\n In Progress OpenEdge<\/a> ist zum 27. Februar 2024 die Schwachstelle CVE-2024-1403<\/a> \u00f6ffentlich geworden. Im OpenEdge Authentication Gateway und AdminServer vor 11.7.19, 12.2.14, 12.8.1 wurde auf allen vom OpenEdge-Produkt unterst\u00fctzten Plattformen eine Sicherheitsl\u00fccke entdeckt. Die Schwachstelle CVE-2024-1403 erm\u00f6glicht die Umgehung der Authentifizierung und hat einen CVSS 3.1-Index von 10.0 erhalten. Die Schwachstelle zur Umgehung der Authentifizierung beruht auf einem Fehler bei der ordnungsgem\u00e4\u00dfen Verarbeitung von Benutzername und Passwort. Bestimmte unerwartete Inhalte, die in die Anmeldeinformationen eingegeben werden, k\u00f6nnen ohne ordnungsgem\u00e4\u00dfe Authentifizierung zu unberechtigtem Zugriff f\u00fchren.<\/p>\n Progress hat in der Community den Eintrag Important Security Update for OpenEdge Authentication Gateway and AdminServer<\/a> dazu ver\u00f6ffentlicht und schreibt, dass alle unterst\u00fctzten OpenEdge-Releases betroffen seien. Das schlie\u00dft auch OpenEdge LTS Release 11.7.18, OpenEdge LTS Release 12.2.13 und das aktuelle OpenEdge LTS Release 12.8.0 ein. Allen Kunden, die mit allen OpenEdge-Versionen arbeiten, wird vom Hersteller empfohlen, wenn m\u00f6glich sofort auf die neueste OpenEdge-Version eines Active Release zu aktualisieren. <\/p>\n Weitere Details finden sich im oben verlinkten Community-Beitrag und eigentlich sollten alle Instanzen seit Ende Februar 2024 gepatcht sein. <\/p>\n Nun ist wohl ein Proof of Concept (PoC) f\u00fcr einen Exploit \u00f6ffentlich geworden, mit dem sich CVE-2024-1403 ausnutzen l\u00e4sst. Ich bin \u00fcber nachfolgenden Post<\/a> auf das Thema gesto\u00dfen. <\/p>\n The Hacker News hat es in diesem Artikel<\/a> aufgegriffen. Sicherheitsforscher von Horizon3.ai haben den anf\u00e4lligen AdminServer-Dienst an Hand des Patches auf die Schwachstelle hin analysiert. Laut Horizon3.ai besteht die CVE-2024-1403 in einer Funktion namens connect()<\/em>, die aufgerufen wird, wenn eine Remote-Verbindung hergestellt wird.<\/p>\n Diese Funktion ruft wiederum eine andere Funktion namens authorizeUser()<\/em> auf, die \u00fcberpr\u00fcft, ob die angegebenen Anmeldeinformationen bestimmte Kriterien erf\u00fcllen, und \u00fcbergibt die Kontrolle an einen anderen Teil des Codes, der den Benutzer direkt authentifiziert, wenn der angegebene Benutzername mit \"NT AUTHORITY\\SYSTEM\" \u00fcbereinstimmt.<\/p>\n Auf Grund dieser Kenntnisse konnten die Sicherheitsforscher von Horizon3.ai einen Exploit zum Ausnutzen der Schwachstelle entwickeln. Sicherheitsforscher Zach Hanley schreibt<\/a> dazu: \"Es sieht so aus, als k\u00f6nnte ein Benutzer neue Anwendungen \u00fcber Remote-WAR-Dateireferenzen bereitstellen. Aber die Komplexit\u00e4t hat sich aufgrund der Verwendung von internen Service Message Brokern und benutzerdefinierten Nachrichten drastisch erh\u00f6ht, um diese Angriffsfl\u00e4che zu erreichen. Wir glauben aber, dass es wieder einen Weg zur Remote-Code-Ausf\u00fchrung \u00fcber eingebaute Funktionen gibt, wenn gen\u00fcgend Forschungsaufwand betrieben wird.\" Es bleibt also nur, die betreffenden Produkte zu patchen. <\/p>\n \u00c4hnliche Artikel: [English]Setzt jemand aus der Leserschaft Progress OpenEdge, entweder als Authentication Gateway oder AdminServer ein? Es gibt eine kritische Schwachstelle (CVE-2024-1403) in diesem Produkt (CVSS 10.0), die die Umgehung der Authentifizierung erm\u00f6glicht. Nun ist ein Exploit zur Ausnutzung dieser Schwachstelle bekannt … Weiterlesen Ich musste selbst im Internet nachschauen – die Progress Software Corp.<\/a> ist ein US-Unternehmen mit Sitz in Bedford, Massachusetts, welches Applikations-Infrastruktur-Software f\u00fcr die Entwicklung, die Integration und das Management von Gesch\u00e4ftsanwendungen anbietet. Es gib eine deutsche Tochter Progress Software GmbH<\/i> mit Sitz in K\u00f6ln. Hier ein Link<\/a> auf deren Infomaterial-Seite. <\/p>\n
Progress OpenEdge Schwachstelle CVE-2024-1403<\/h2>\n<\/p>\n
\n
Proof of Concept f\u00fcr CVE-2024-1403<\/h2>\n
![\"Progress](\"https:\/\/i.postimg.cc\/j5CPLY65\/image.png\"\/ "\\"Progress")
<\/a><\/p>\n
<\/strong>MOVEit Transfer: Neue Schwachstelle; dringend patchen!<\/a>
Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a>
MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?<\/a>
Datenleck bei Postbank und Deutscher Bank; ING und Comdirect<\/a>
MOVEit-Schwachstelle: CCleaner-Nutzer auch betroffen; Deutsche Bank und ING lassen Datenleck pr\u00fcfen<\/a>
Sicherheits-News: BIG-Krankenkasse, H\u00fclben, Rhein-Pfalz-Kreis, MOVEit, VMware (21. Juni 2023)<\/a>
<\/a>MOVEit-Datenleck: Neben Postbank\/Deutscher Bank auch ING und Comdirect betroffen<\/a>
<\/a>MOVEit Transfer: Neue Sicherheitswarnung und Update (6. Juli 2023)<\/a>
<\/a>MOVEit-Datenleck: Neben Postbank\/Deutscher Bank auch ING und Comdirect betroffen<\/a>
<\/a>Das MOVEit-Desaster: Proof of Concept; Clop-Gang ver\u00f6ffentlicht Opferdaten<\/a>
<\/a>MoveIT-Anbieter Progress Software meldet gravierende Schwachstellen in WS_FTP Server<\/a>
Progress Kemp LoadMaster (Load-Balancer) Firmware aktualisieren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"