Die Miele Appliance PG 8528 leidet unter einem Sicherheitsleck der Kategorie Web Server Directory Traversal. Bei dem Gerät handelt es sich um einen Reinigungs- und Desinfektionsautomaten, der vor allem für den Einsatz in Krankenhäusern und Laboren konzipiert ist. Das Gerät verfügt über eine Schnittstelle zum Internet und über einen Webserver.
Allerdings können Angreifer über diesen Webserver auch auf Dateien zugreifen, die nicht für den Webserver freigegeben sind. Darüber ist es möglich, Inhalte auszuspähen oder aber auch die Dateien zu verändern und diese den Webserver ausführen zu lassen.
Update 29. März 2017: Inzwischen hat Miele zu dem Vorfall Stellung genommen. Die ausführliche Erläuterung und eine Einordnung finden Sie in diesem Beitrag bei silicon.de.
Der Sicherheitsfachmann Jens Regel hat den Fehler jetzt über Full Disclosure veröffentlicht. Laut dem Advisory [CVE-2017-7240] hat Regel das Leck Mitte November entdeckt und daraufhin nach einem Sicherheitsbeauftragen bei Miele gefragt. Anfang Dezember habe er dann die Details seiner Entdeckung an einen Produktbeauftragten geschickt. Nachdem er jeweils im Januar und im Februar nochmal auch auf Nachfrage keine weiteren Informationen bekommen hatte, machte er das Leck am 23. März öffentlich.
Auf eine Anfrage von silicon.de bei Miele zu dem Fehler und die Frage, weshalb nicht auf die Meldung reagiert wurde, liegt derzeit noch keine Antwort vor. Wie aus dem Produktblatt zum PG 8529 hervorgeht, ist das Gerät “fernservicefähig”.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Ein Fix für dieses Leck ist bislang nicht bekannt. Regel führt aus, dass der eingebettete PST10 Webserver am Port 80 lauscht und darüber über eine Directory Traversal Attack angegriffen werden kann. “Daher kann ein unauthentifizierter Angreifer über dieses Leck auf sensible Informationen zugreifen und so Informationen für weitere Angriffe abgreifen.” Regel vergibt für dieses Leck den CVSS-Wert 5.0, was einer mittleren Gefährdung entspricht.
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
View Comments
Leider ist diese Ignoranz Praxis vieler vermeintlicher großer Unternehmen. An deren Stelle wäre ich froh, wenn sich innovative externe Fachleute konstruktiv mit ihren Produkten auseinandersetzen. Hochmut kommt bekanntlich vor dem Fall.