Verschillende kwetsbaarheden in de Vembu BDR Suite, software die door bedrijven wordt ingezet voor het maken van back-ups en disaster recovery, maken remote code execution mogelijk. De beveiligingslekken, die inmiddels in de nieuwste versies zijn verholpen, werden gevonden door de Nederlandse beveiligingsonderzoeker Wietse Boonstra van het Dutch Institute for Vulnerability Disclosure (DIVD).

Het lukte de onderzoeker om slechts via een browser toegang tot een kwetsbaar Vembu-systeem te krijgen. “Een kwetsbaarheid in dit soort software is ernstig. Backup en recovery-software grijpt per definitie diep in op het systeem van gebruikers van van Vembu”, aldus het DIVD. Volgens Vembu maken wereldwijd meer dan zestigduizend bedrijven gebruik van de oplossingen die het biedt, waaronder NASA, Fujitsu, Kawasaki, Samsung en Epic Games.

In totaal ontdekte Boonstra vier kwetsbaarheden, waarvan er drie remote code execution mogelijk maken. Via het vierde beveiligingslek is server-side request forgery (SSRF) mogelijk en kan de toegangscontrole tot een systeem worden omzeild.

De Nederlandse onderzoeker rapporteerde de kwetsbaarheden bij Vembu, maar kreeg volgens het DIVD aanvankelijk geen respons. Halverwege februari slaagde het DIVD erin om Vembu wel te benaderen. De leverancier liet weten dat de kwetsbaarheden al waren opgelost in de laatste versies van de software. “Klanten kregen echter alleen een update als ze er actief om vroegen”, zo stelt het DIVD. Na aandringen van het instituut is een gepatchte versie sinds april online te vinden.

Het DIVD meldt dat uit nader onderzoek blijkt dat de kwetsbaarheden mogelijk ook in andere door Vembu gemaakte oplossingen aanwezig zijn. In het geval van de SSRF-kwetsbaarheid zouden zelfs veel van de producten hiermee kampen.

Source