Service-Warnungen

NOVEMBER 2024

CVE-2024-XXXXX – Umgehung des deaktivierten/abgelaufenen Benutzerkontos

Eine KRITISCHE Sicherheitslücke (bewertet mit 9.1: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L) wurde in WALLIX Bastion und WALLIX Access Manager entdeckt. Eine CVE-Nummer wurde angefordert, und wir warten derzeit auf ihre Zuweisung.

Zusammenfassung

Produkt	Merkmal	Details zur Schwachstelle	Auswirkungen	Wie kann ich überprüfen, ob ich diese Funktion nutze?
WALLIX Bastion	Benutzerauthentifizierung mit einem in LDAP oder Active Directory gespeicherten SSH-Schlüssel	WALLIX Bastion überprüft nicht die Flaggen Abgelaufen oder Deaktiviert.	Benutzer können sich an der WALLIX Bastion authentifizieren und auf ihre SSH-Ziele zugreifen	Unter Konfiguration > Authentifizierungsdomänen > Active Directory oder LDAP wird das Attribut des öffentlichen SSH-Schlüssels definiert
WALLIX Bastion	Benutzerauthentifizierung mit X.509-Zertifikat, das in LDAP oder Active Directory gespeichert ist	WALLIX Bastion überprüft nicht die Flaggen Abgelaufen oder Deaktiviert.	Benutzer können sich auf der WALLIX Bastion GUI authentifizieren und auf ihre Ziele zugreifen	Beide Bedingungen unten sind erfüllt: In Konfiguration > Konfigurationsoptionen > X.509-Konfiguration ist X.509-Authentifizierung aktivieren markiert, und Unter Konfiguration > Authentifizierungsdomänen > Active Directory oder LDAP ist die Option X509-Authentifizierung aktivieren markiert.
WALLIX Access Manager	Benutzerauthentifizierung mit einem in Active Directory gespeicherten X.509-Zertifikat	WALLIX Access Manager prüft keine Abgelaufen-Flags.	Benutzer können sich an der WALLIX Access Manager GUI authentifizieren und auf ihre Ziele zugreifen	In der globalen Organisation, Konfiguration > Domänen > LDAP-Domäne auswählen, Erlauben Sie X509 Cert. Authentifizierung geprüft wird

Hinweis: WALLIX Access Manager unterstützt keine Benutzerauthentifizierung mit einem in LDAP gespeicherten X.509-Zertifikat.

Hinweis: WALLIX Access Manager ermöglicht keine Benutzerauthentifizierung mit SSH-Schlüssel.

Hinweis: Die Anmeldedaten des Benutzers (privater SSH-Schlüssel oder X.509-Schlüssel, der mit dem Zertifikat verbunden ist) müssen gültig sein.

WALLIX empfiehlt, die veröffentlichten Korrekturen sofort anzuwenden oder vorher die unten beschriebenen Abhilfemaßnahmen anzuwenden.

Betroffene Produkte

Bastion:

Alle WALLIX Bastion 12.0 Versionen bis zu 12.0.3 enthalten
Alle WALLIX Bastion 11.0
Alle WALLIX Bastion 10.1, 10.2, 10.3, 10.4
Alle WALLIX Bastion 10.0 bis 10.0.9 enthalten
Alle WALLIX Bastion 9.0, 9.1
Alle früheren WALLIX Bastion können betroffen sein

Access Manager:

WALLIX Access Manager 5.1.0
Alle WALLIX Access Manager 5.0 Versionen
Alle WALLIX Access Manager 4.4 Versionen
Alle WALLIX Access Manager 4.0 Versionen bis zu 4.0.7 enthalten
Alle früheren WALLIX Access Manager können betroffen sein

Indikator für Kompromiss

Überprüfen Sie das Authentifizierungsprotokoll auf WALLIX Bastion und WALLIX Access Manager, um sicherzustellen, dass keine deaktivierten oder abgelaufenen Konten verwendet wurden.

Umgehungen

Abgelaufenes und deaktiviertes Konto:

Für WALLIX Bastion und WALLIX Access Manager entfernen Sie den SSH-Schlüssel oder den Zertifikathash, der im Active Directory oder LDAP-Benutzerkonto gespeichert ist.

X.509-Zertifikate können auch widerrufen werden, wenn CRLs in WALLIX Bastion und WALLIX Access Manager richtig konfiguriert sind.

Nur deaktiviertes Konto:

Wenn Sie SSH-Schlüssel oder X.509-Zertifikate innerhalb von Active Directory nicht entfernen können:

WALLIX Bastion, gehen Sie zu Konfiguration > Konfigurationsoptionen > Global > (Erweiterte Optionen) > Ldap-Attribute und fügen Sie hinzu:
- “userAccountControl” für Active Directory
- “krbPasswordExpiration” für FreeIPA.
WALLIX Access Manager ist von dieser Sicherheitslücke nicht betroffen

Feste Software

WALLIX Bastion 12.0.4, jetzt verfügbar https://updates.wallix.com/bastion/bastion-12.0.4.iso
WALLIX Access Manager 5.1.1, jetzt verfügbar https://updates.wallix.com/accessmanager/accessmanager-5.1.1.1.iso
WALLIX Bastion 10.0.10, verfügbar ab 22. November
WALLIX Access Manager 4.0.8, verfügbar ab 22. November

Ausbeutung und öffentliche Bekanntmachungen

WALLIX ist nicht bekannt, dass die in diesem Hinweis beschriebene Sicherheitslücke öffentlich bekannt gemacht oder böswillig ausgenutzt wurde.

Es wird jedoch empfohlen, auf den WALLIX-Bastionen nach abnormalen Aktivitäten zu suchen.

DEZEMBER 2023

Mögliche Offenlegung sensibler Informationen CVE-2023-49961

ZUSAMMENFASSUNG In den WALLIX-Produkten wurde eine Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, auf sensible Informationen zuzugreifen. Der Angreifer könnte diese Schwachstelle ausnutzen, um sich unberechtigte Zugriffe zu verschaffen. WALLIX empfiehlt die sofortige Anwendung der veröffentlichten Korrekturen oder vor deren Anwendung die unten beschriebene Umgehung. Betroffene Produkte Alle unterstützten Versionen von WALLIX Bastion und Access Manager als Appliance. Abhilfemaßnahmen Der folgende Artikel unserer Wissensdatenbank bietet Ihnen die Abhilfemaßnahmen.

Access Manager als Appliance: https://wallix.lightning.force.com/lightning/r/Knowledge__kav/ka0Sb00000007O5IAI/view
Bastion: https://wallix.lightning.force.com/lightning/r/Knowledge__kav/ka0Sb00000005irIAA/view

Fixierte Software Hotfixes und Patches sind in unserem Download-Portal verfügbar:

Bastion 9.0.9 : https://cloud.wallix.com/index.php/s/DBkJWdtsPjW7BSn (SHA256: dc5e3fda310a94cd54835800718cc1ec02084a126f79c82dde465eff40d698a4 )
Bastion 10.0.5 : https://cloud.wallix.com/index.php/s/PYjdncJSTaEBRSg (SHA256: 65cdc9b49dfa2160a4a8489fd1c61cad1a48444dbb86cb4a9ac0f4ff527d1197 )

Ausnutzung und öffentliche Bekanntmachungen WALLIX sind keine öffentlichen Bekanntmachungen oder böswillige Nutzung der in diesem Hinweis beschriebenen Sicherheitslücke bekannt.
Es wird jedoch empfohlen, auf abnormale Aktivitäten auf den WALLIX Bastions und dem WALLIX Access Manager zu achten.
Außerdem sollten Sie sicherstellen, dass die Firewall von Bastion und Access Manager aktiviert ist.

FEBRUAR 2023

Access Manager Privilegienerweiterung CVE-2023-23592

Februar 2023Access Manager Privilegienerweiterung CVE-2023-23592ZUSAMMENFASSUNG

Im Produkt WALLIX Access Manager wurde eine Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, auf vertrauliche Informationen zuzugreifen. Der Angreifer könnte diese Schwachstelle nutzen, um sich unerlaubte Zugriffe. WALLIX empfiehlt, die veröffentlichten Korrekturen sofort oder vorher die unten beschriebene Umgehung anzuwenden.Betroffene ProdukteAlle Versionen von WALLIX Access Manager.Abhilfemaßnahmen Im folgenden Artikel unserer Wissensdatenbank finden Sie die Vorgehensweise zur Umgehung des Problems. https://support.wallix.com/s/article/How-can-I-mitigate-CVE-2023-23592

Behobene SoftwareHotfixes-Versionen sind auf unserem Download-Portal verfügbar: – Version 3.0.16 – Version 4.0.3Ausbeutung und öffentliche Ankündigungen

WALLIX ist nicht bekannt, dass die in diesem Hinweis beschriebene Sicherheitslücke öffentlich bekannt gemacht oder böswillig ausgenutzt wurde. Es wird jedoch empfohlen, auf den WALLIX-Bastionen, die mit dem WALLIX Access Manager verbunden sind, nach abnormalen Aktivitäten zu suchen. Es wird insbesondere empfohlen, nach ungewöhnlichen IP-Adressen zu suchen, die von privilegierten Benutzern verwendet werden und die möglicherweise von mehreren Benutzerkonten genutzt werden.

QuelleInterne Sicherheitskontrollen

DEZEMBER 2021

Log4J Sicherheitslücke bei der Remotecodeausführung (CVE-2021-44228)

ZUSAMMENFASSUNG Das Alibaba Cloud Security Team hat am 9. Dezember 2021 eine Sicherheitslücke in log4j, einer verbreiteten Java-Protokollierungsbibliothek, veröffentlicht. (CVE-2021-44228) Diese Sicherheitslücke ermöglicht die unautorisierte Remotecodeausführung in Java-Anwendungen. Betroffene Produkte Alle Versionen von WALLIX Access Manager Abhilfemaßnahmen Die Standardkonfiguration von WALLIX Access Manager verhindert die Ausnutzung der genannten Sicherheitslücke im Anmeldefeld. Um jedoch zu verhindern, dass im Falle einer Änderung der Standardkonfiguration des WALLIX Access Managers ein Exploit gefunden werden kann, schlägt das WALLIX-Team einen Patch vor, der die fehlerhafte Klasse der log4j-Bibliothek deaktiviert. Dieser Patch gilt für alle Versionen von Access Manager ab der Version 2.0. Im folgenden Artikel unserer Wissensdatenbank finden Sie den Zugang zu dem Patch sowie die Vorgehensweise zur Installation. https://support.wallix.com/s/article/CVE-2021-44228-Mitigation-procedureFixed Software Parallel zur Access Manager Version 3.0.11 ist ein Update der Log4J Version geplant. Die Veröffentlichung dieser Version ist für Ende Dezember 2021 geplant. Ausnutzung und öffentliche Bekanntmachungen WALLIX hat keine Kenntnis von öffentlichen Bekanntmachungen oder einer böswilligen Nutzung der in diesem Hinweis beschriebenen Sicherheitslücke. Es wird jedoch empfohlen, auf den WALLIX-Bastionen, die mit dem WALLIX Access Manager verbunden sind, nach abnormalen Aktivitäten zu suchen. Insbesondere wird empfohlen, auf die Erstellung neuer Benutzer oder Berechtigungen zu achten, vor allem seit der Veröffentlichung der CVE Source Alibaba Cloud Security Team am 9. Dezember 2021 eine Sicherheitslücke in log4j, einer gängigen Java-Protokollierungsbibliothek, veröffentlicht hat. (CVE-2021-44228)

JANUAR 2021

Sudo Privilege Escalation mit Auswirkungen auf WALLIX Produkte – CVE-2021-3156

ZUSAMMENFASSUNG

Das Qualys Research Team hat eine Heap-Overflow-Schwachstelle in sudo (CVE-2021-3156) entdeckt. Jeder lokale, nicht privilegierte Benutzer kann auf einem anfälligen Host mit einer Standard-Sudo-Konfiguration Root-Rechte erlangen, indem er diese Schwachstelle ausnutzt. sudo kann nur lokal ausgenutzt werden. Das bedeutet, dass entweder :

Der Benutzer ist auf der WALLIX Bastion über das wabadmin-Konto mit der Administrationsoberfläche verbunden. Dieser Benutzer kann dann sudo ausnutzen, um root zu werden und alle Sicherheiten von WALLIX Bastion zu umgehen
Eine RCE-Schwachstelle (Remote Code Exploitation) besteht in einem anderen Teil der WALLIX-Software oder in einem Drittanbieter, der eine lokale Shell bereitstellt. Nach erfolgreicher Ausnutzung dieser Schwachstelle kann der Angreifer sudo ausnutzen, um root zu werden. Nach dem Wissen von WALLIX hat eine aktuelle Bastion keine solche Schwachstelle.

Betroffene Produkte

Alle Versionen vor WALLIX Bastion 8.0.6 (enthalten)
Alle Versionen 8.1 und 8.2

Umgehungen

Es gibt keine Abhilfe für diese Sicherheitslücke

Feste Software

Diese Sicherheitslücke ist ab WALLIX Bastion 8.0.7 und 7.0.14 behoben.

Ein Fix Patch ist für Version 8.0.6 und früher verfügbar (gilt für die Versionen 8.1 und 8.2)
Ein Fix-Patch ist für Version 7.0.13 und früher verfügbar

Diese Elemente sind auf unserer Download-Seite verfügbar: WALLIX-Unterstützung: Patches

Ausbeutung und öffentliche Bekanntmachungen

WALLIX ist nicht bekannt, dass die in diesem Hinweis beschriebene Sicherheitslücke öffentlich bekannt gemacht oder böswillig ausgenutzt wurde.

Quelle

Am 26. Januar 2021 hat Qualys diese Schwachstelle in einem Sicherheitsbulletin unter folgendem Link öffentlich bekannt gegeben: https://blog.qualys.com

WALLIX UNTERSTÜTZUNG & DIENSTLEISTUNGEN

WALLIX
CONSULTING

Denken, entwerfen und sichern Sie komplexe oder große Implementierungen

BERATUNG

KUNDENBETREUUNG

Nehmen Sie Kontakt auf
mit dem Kundenteam

KUNDENBETREUUNG

PROFESSIONELLE DIENSTLEISTUNGEN

Implementierung, Prüfung und Unterstützung für WALLIX-Lösungen

PROFESSIONELLE DIENSTLEISTUNGEN

WALLIX
AKADEMIE

Schulungen und Zertifizierungen für Partner und Endbenutzer

AUSBILDUNG

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Service-Warnungen

NOVEMBER 2024

Zusammenfassung

Betroffene Produkte

Indikator für Kompromiss

Umgehungen

DEZEMBER 2023

FEBRUAR 2023

DEZEMBER 2021

JANUAR 2021

ZUSAMMENFASSUNG

Betroffene Produkte

Umgehungen

Feste Software

Ausbeutung und öffentliche Bekanntmachungen

Quelle

WALLIX UNTERSTÜTZUNG & DIENSTLEISTUNGEN

WALLIX
CONSULTING

KUNDENBETREUUNG

PROFESSIONELLE DIENSTLEISTUNGEN

WALLIX
AKADEMIE

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS

Service-Warnungen

NOVEMBER 2024

Zusammenfassung

Betroffene Produkte

Indikator für Kompromiss

Umgehungen

DEZEMBER 2023

FEBRUAR 2023

DEZEMBER 2021

JANUAR 2021

ZUSAMMENFASSUNG

Betroffene Produkte

Umgehungen

Feste Software

Ausbeutung und öffentliche Bekanntmachungen

Quelle

WALLIX UNTERSTÜTZUNG & DIENSTLEISTUNGEN

WALLIXCONSULTING

KUNDENBETREUUNG

PROFESSIONELLE DIENSTLEISTUNGEN

WALLIX AKADEMIE

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS

WALLIX
CONSULTING

WALLIX
AKADEMIE