Backup and Replication

Die Schwachstelle betrifft die Datensicherungs- und Replikationslösung Backup and Replication von NAKIVO. Sie erlaubt einen absoluten Verzeichnisdurchlauf (Path Traversal): Über eine zum Abrufen von Abbildern gedachte Funktion und eine bestimmte Schnittstelle der Software kann ein Angreifer den vorgesehenen Pfadbereich verlassen und beliebige Dateien auf dem Server lesen, indem er deren vollständigen Pfad angibt. Dadurch erhält er Zugriff auf Inhalte, die ihm eigentlich verschlossen bleiben sollten. Besonders schwer wiegt das, weil eine Komponente zur Erkennung physischer Datenträger Zugangsdaten im Klartext ablegt: Ein Angreifer kann diese Anmeldeinformationen auslesen und sie zur weiteren Ausbreitung nutzen, bis hin zur Ausführung von Schadcode über die gesamte Unternehmensumgebung hinweg. Da die Software zentral auf schützenswerte Sicherungsdaten zugreift, ist eine Übernahme entsprechend folgenreich.