Die Miele Appliance PG 8528 leidet unter einem Sicherheitsleck der Kategorie Web Server Directory Traversal. Bei dem Gerät handelt es sich um einen Reinigungs- und Desinfektionsautomaten, der vor allem für den Einsatz in Krankenhäusern und Laboren konzipiert ist. Das Gerät verfügt über eine Schnittstelle zum Internet und über einen Webserver.
Allerdings können Angreifer über diesen Webserver auch auf Dateien zugreifen, die nicht für den Webserver freigegeben sind. Darüber ist es möglich, Inhalte auszuspähen oder aber auch die Dateien zu verändern und diese den Webserver ausführen zu lassen.
Update 29. März 2017: Inzwischen hat Miele zu dem Vorfall Stellung genommen. Die ausführliche Erläuterung und eine Einordnung finden Sie in diesem Beitrag bei silicon.de.
Der Sicherheitsfachmann Jens Regel hat den Fehler jetzt über Full Disclosure veröffentlicht. Laut dem Advisory [CVE-2017-7240] hat Regel das Leck Mitte November entdeckt und daraufhin nach einem Sicherheitsbeauftragen bei Miele gefragt. Anfang Dezember habe er dann die Details seiner Entdeckung an einen Produktbeauftragten geschickt. Nachdem er jeweils im Januar und im Februar nochmal auch auf Nachfrage keine weiteren Informationen bekommen hatte, machte er das Leck am 23. März öffentlich.
Auf eine Anfrage von silicon.de bei Miele zu dem Fehler und die Frage, weshalb nicht auf die Meldung reagiert wurde, liegt derzeit noch keine Antwort vor. Wie aus dem Produktblatt zum PG 8529 hervorgeht, ist das Gerät “fernservicefähig”.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Ein Fix für dieses Leck ist bislang nicht bekannt. Regel führt aus, dass der eingebettete PST10 Webserver am Port 80 lauscht und darüber über eine Directory Traversal Attack angegriffen werden kann. “Daher kann ein unauthentifizierter Angreifer über dieses Leck auf sensible Informationen zugreifen und so Informationen für weitere Angriffe abgreifen.” Regel vergibt für dieses Leck den CVSS-Wert 5.0, was einer mittleren Gefährdung entspricht.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.
View Comments
Leider ist diese Ignoranz Praxis vieler vermeintlicher großer Unternehmen. An deren Stelle wäre ich froh, wenn sich innovative externe Fachleute konstruktiv mit ihren Produkten auseinandersetzen. Hochmut kommt bekanntlich vor dem Fall.