Trellix ePolicy Orchestrator ermöglicht Rechteausweitung

Trellix warnt in zwei Sicherheitsmitteilungen vor Schwachstellen im Trellix ePolicy Orchestrator (ePO). Angreifer könnten ihr Rechte ausweiten oder unbefugt auf Informationen zugreifen. Früher, bis etwa ins Jahr 2022, war ePO als McAfee ePolicy Orchestrator bekannt.

ePO erlaubt Nutzern mit regulären Rechten eigentlich nicht, Aufgaben oder Zuordnungen zu löschen. Aufgrund unsicherer direkter Objektreferenzierungen können jedoch Nutzer mit niedrigsten Rechten Client-Aufgaben und -Zuordnungen manipulieren und so ihre Rechte ausweiten (CVE-2024-4843). Aufgrund hartkodierter Zugangsdaten in der OnPremise-Version vor ePO 5.10 Service Pack 1 Update 2 können Administratoren auf dem ePO-Server Inhalte der orion.keystore-Datei auslesen. Da auf der Datei Zugriffsbeschränkungen im Dateisystem greifen, können das jedoch lediglich Systemadministratoren auf der Maschine, auf der ePolicy Orchestrator OnPremise läuft, missbrauchen (CVE-2024-4844).

CERT-Bund warnt vor hohem Risiko

Nähere Details zu den Sicherheitslücken versteckt Trellix hinter einem Log-in für zahlende Kunden. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) bewertet die Schwachstellen in einer eigenen Sicherheitsmitteilung jedoch mit einem CVSS-Wert von 8.8 als hohes Risiko.

IT-Verantwortliche, die die ePO-Software einsetzen, sollten sich zügig bei Trellix anmelden und die verfügbaren Sicherheitsaktualisierungen herunterladen und anwenden.

Lesen Sie auch

McAfee und FireEye fusionieren unter der Marke "Trellix"

Anfang 2022 hat die Symphony Technology Group (STG) als Besitzerin des McAfee-Unternehmenskunden-Portfolios das Unternehmen mit der Firma FireEye zusammengeführt, das ebenfalls im Besitz von STG war. Das aus der Fusion entstandene Unternehmen bekam den Namen "Trellix" verpasst. Die Endkunden-Produkte sind jedoch weiter unter dem Namen McAfee verfügbar.

(dmk)