Schwachstelle in Matrix42: r-tec rät Empirum Kunden zum Update

Spezialisten der r-tec IT Security GmbH haben eine Schwachstelle in der Client Management Lösung Matrix42 Empirum identifiziert:

Die Schwachstelle ermöglicht es Angreifern, auf dem Client hinterlegte Service-Account-Passwörter aus Konfigurationsdateien zu entschlüsseln. Betroffen sind davon Unternehmen, die das Produkt Empirum in der veralteten Version 18.0.1 von 2016 oder früher einsetzen.

Die Matrix42 Empirum Software wird für typische Client-Management-Aufgaben in Bereichen des Bestands-, Asset-, Patch-, Software- oder Lizenzmanagements eingesetzt. Nach eigenen Angaben auf der Unternehmenswebsite verfügt Matrix42 über 5000 Kunden weltweit, darunter auch zahlreiche namhafte Global-Player verschiedenster Branchen.

Einsatz der neu eingeführten Sicherheitsfunktionen empfohlen

r-tec wurde im Rahmen von Analysen und Penetrationstests für Kunden auf unzureichend geschützte Passwörter in der Empirum Client Management Software aufmerksam. Nach Analysen der dafür genutzten Algorithmen zur Obfuskation der Zugangsdaten wurden die Schwachstellen CVE-2019-16259 und CVE-2019-16260 entdeckt.

Matrix42 empfiehlt Kunden seit mehreren Jahren, diese Funktion nicht mehr einzusetzen und hat neue Sicherheitsfunktionen, wie z.B. die zertifikatsbasierte Autorisierung eingeführt. Über die Ausnutzung der Schwachstellen erhält ein Angreifer Zugangsdaten im Klartext, der in Konfigurationsdateien hinterlegten Benutzer-Accounts. Je nach Berechtigung dieser Benutzer ist eine Rechte-Erhöhung für den Angreifer möglich. Daher sollte die individuelle Kundenimplementierung entsprechend der Vorgaben des Herstellers gehärtet werden. Technische Detail-Informationen hält das Support Center der Matrix42 bereit.

Prüfung bestehender Umgebung nach Herstellervorgaben

Die Schwachstelle wurde dem Hersteller Matrix42 in einer Präsentation aufgezeigt. Um den Angriffsvektor zu schließen, ist laut Matrix42 die Konfiguration wie folgt zu prüfen:

  • Upgrade des Matrix42 Empirum Agenten auf Version 18.0.2 oder höher.
  • Prüfung und Anpassung von Berechtigungen für Empirum Server Netzwerkfreigaben; Zugriff lediglich für eingeschränkte Benutzerkreise. Dies ist bereits vor Version 18.0.2 detailliert in der Produkt-Dokumentation beschrieben.
  • Einsatz der Sicherheitsfunktion der zertifikatbasierten Autorisierung bzw. Autorisierung via Computer Account zur Vermeidung von Benutzerkennwörtern in Konfigurationsdateien.

Durch die beschriebenen Anpassungen wird der lesende Zugriff auf die Konfigurationsdateien eingeschränkt. Die Algorithmen zur Obfuskation bleiben unverändert, jedoch werden die Benutzerkennwörter aus den Konfigurationsdateien entfernt.

Verifikation durch Security Check

Unternehmen sollten nun überprüfen, ob die betroffenen Funktionen eingesetzt werden. Das r-tec-Team hilft in dieser Situation gerne weiter und bietet die Prüfung der bestehenden Infrastruktur in Kooperation mit dem Hersteller Matrix42 an.