WARP, IPVPN, and MPVPN software

Die Schwachstelle befindet sich in der Web-Verwaltungsoberfläche der FatPipe-Software für WARP, IPVPN und MPVPN. Sie erlaubt es einem Angreifer, aus der Ferne und ohne vorherige Anmeldung eine Datei auf das System hochzuladen – und zwar an einen beliebigen Ort im Dateisystem. Da weder gültige Zugangsdaten noch eine Benutzerinteraktion erforderlich sind, genügt der bloße Netzzugriff auf die Verwaltungsoberfläche, um den Angriff auszuführen. Über das gezielte Ablegen einer Datei an einer frei wählbaren Stelle kann ein Angreifer eigene Inhalte einschleusen und dadurch typischerweise eigenen Code zur Ausführung bringen oder bestehende Dateien überschreiben. Betroffen sind die genannten FatPipe-Produkte, die als Netzwerk- und VPN-Geräte am Übergang zum Internet eingesetzt werden. Ist die Web-Verwaltungsoberfläche aus dem Netz erreichbar, steht der Angriffsweg unmittelbar offen, was eine vollständige Kompromittierung des betroffenen Geräts ermöglichen kann.