USAHERDS

Die Schwachstelle steckt in der Anwendung USAHERDS von Acclaim Systems, einer Software zur Verwaltung von Tiergesundheits- und Tierseuchendaten. Sie beruht auf fest im Programmcode hinterlegten Zugangsdaten – also auf Anmeldeinformationen, die unveränderlich in der Software eingebaut sind und bei allen Installationen identisch sind. Im konkreten Fall handelt es sich um einen festen MachineKey, einen kryptografischen Schlüssel der Anwendung. Gelangt ein Angreifer in den Besitz dieses Schlüssels, kann er ihn missbrauchen, um auf dem System, das die Anwendung betreibt, beliebigen Code aus der Ferne auszuführen und damit die Kontrolle über den Server zu erlangen. Voraussetzung ist allerdings, dass der Angreifer den MachineKey zuvor über einen anderen Weg erlangt – etwa über eine separate Schwachstelle oder einen anderen Kanal. Betroffen sind die Betreiber von USAHERDS-Installationen, da die fest eingebauten Zugangsdaten nicht ohne Weiteres geändert werden können.