Der ePolicy Orchestrator (ePO) wurde in 2022 durch Trellix vom Computersicherheitssoftwareherstellt McAfee übernommen. Nun meldet Trellix in seinem Produkt zwei bemerkenswerte Schwachstellen.
Die Schwachstellen werden unter der Kennung CVE-2024-4843 und CVE-2024-4844 geführt. In der Schwachstellendatenbank des National Institute of Standards and Technology – NIST sind weitere Informationen zu finden. Eine objektive Klassifizierung liegt aber aufgrund der noch laufenden Analyse bisher nicht vor.
Bekannt ist bisher, dass aufgrund einer unsicheren direkten Objektreferenzierung (IDOR) Nutzer mit niedrigsten Rechten Client-Aufgaben und -Zuordnungen manipulieren und so ihre Rechte erweitern (CVE-2024-4843). Doch damit nicht genug. Aufgrund hartkodierter Zugangsdaten in der OnPremise-Version vor ePO 5.10 Service Pack 1 Update 2 können Administratoren auf dem ePO-Server Inhalte der orion.keystore-Datei auslesen. Da auf der Datei Zugriffsbeschränkungen im Dateisystem greifen, können das jedoch lediglich Systemadministratoren auf der Maschine, auf der ePolicy Orchestrator OnPremise läuft, missbrauchen (CVE-2024-4844).
Auch das Bundesamts für Sicherheit in der Informationstechnik (BSI) sieht in der Schwachstelle ein erhebliches Schadpotential und hat bereits eine eigene Sicherheitsmitteilung veröffentlicht. Dort wird derzeit von einem CVSS-Wert von 8 von 10 ausgegangen, was ein erhebliches Risiko bedeutet.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1164
Organisationen, die die ePO-Software im Einsatz haben, sollten sich zügig bei Trellix anmelden und die letzten Patches und Hotfixes beziehen.