DIVERA 24/7 - Sicherheitslücke in "Monitor Desktop App" bis inkl. Version 1.1.3-beta.0 – Details zu Vorfällen

Alle Systeme funktionieren

Sicherheitslücke in "Monitor Desktop App" bis inkl. Version 1.1.3-beta.0

Gelöst
Beeinträchtigte Leistung
Aufgetreten am vor 12 MonatenDauerte etwa 1 Monat

Betroffen

Apps

Beeinträchtigte Leistung aus 2:37 PM zu 2:36 PM

Monitor Desktop App

Beeinträchtigte Leistung aus 2:37 PM zu 2:36 PM

Aktualisierung
  • Gelöst
    Gelöst

    Wie angekündigt haben wir ab heute die Monitor Desktop-App Version 1.1.4 serverseitig erzwungen. Falls Sie bereits aktualisiert haben, müssen Sie nichts weiter tun. Falls Sie noch nicht aktualisiert hatten, müssen Sie ggf. die Desktop-App manuell erneut starten.

    Sie sind nur betroffen, wenn Sie unsere Desktop-App (Windows/Linux) verwenden. Nicht betroffen sind unsere mobilen Apps (iOS/Android).

  • Überprüfung
    Update

    Sicherheitsupdate der Desktop-App wird am 14.11. erzwungen

    Aus unseren Metriken ergibt sich, dass ca. 40 % der Installationen der Monitor Desktop App (Windows/Linux) bereits auf die gepatchte Version 1.1.3 aktualisiert haben.
    Um alle Anwender der Desktop-App zu erreichen, werden wir serverseitig ein Update auf die neuste Version erzwingen. Dieser Mechanismus stellt sicher, dass das Sicherheitsupdate heruntergeladen und installiert wird.

    Manueller Neustart notwendig

    Diese Maßnahme haben wir bislang nicht ergriffen, da dieser Mechanismus ebenfalls dazu führt, dass sich das Programm selbst schließt und manuell erneut geöffnet werden muss. Falls ein täglicher Autostart per Cron-Job o.ä. bereits eingerichtet ist, wird diese sich zu dem Zeitpunkt in der neuen Version starten.

    Version 1.1.4 verbessert Auto-Update

    Um zukünftig dringende Sicherheitsupdates der Desktop-App erzwingen zu können, ohne dass Nutzer:innen sie neu öffnen müssen, haben wir am 31.10. eine weitere neue Version mit der Versionsnummer 1.1.4 veröffentlicht. Sie stellt unter Windows und Linux sicher, dass dringende Sicherheitsupdates im Hintergrund installiert werden und danach die App sich selbstständig in der aktualisierten Version öffnet.

    Jetzt aktualisieren!

    Um einen manuellen Neustart zu vermeiden, sollten Sie bis zum 14.11. auf die neuste Version 1.1.4 aktualisieren. Wie Sie Ihre Version überprüfen und ein Update manuell anstoßen können, haben wir in unserer FAQ beschrieben: https://help.divera247.com/pages/viewpage.action?pageId=119865789

  • Überprüfung
    Update

    Nur NutzerInnen der "Monitor Desktop App" sind betroffen und der Angriffsvektor muss von einem anderen DIVERA 24/7 Nutzer der gleichen Einheit mit Schreibrechten ausgeführt werden. Dann kann es zu einer Command Injection auf dem betroffenen Rechner kommen, der Dienst DIVERA 24/7 ist von der Lücke selbst nicht betroffen.
    Aufgrund dieser Einschränkung kommen wir auf einen Base Score von 6.6 gemäß CVSS 3.1
    Details:
    https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L/E:F/RL:O/RC:C

    Weitere Details:
    https://www.divera247.com/blog/alarmmonitor-update

    Weitere Details werden wir nächste Woche veröffentlichen.

  • Überprüfung
    Überprüfung

    Das Update "1.1.3" wurde inzwischen ausgerollt und behebt die Schwachstelle.
    Übergangsweise wird die Scriptausführung auf Windowsrechnern ggf. nicht funktionieren. Bei Linuxrechnern konnten wir keine Fehler feststellen.
    Wir werden dies in der kommenden Woche angehen.

    Das Update wird automatisch im Hintergrund heruntergeladen, danach ist aber ein Neustart der App notwendig, dieses müssen Sie manuell auslösen!

    Die aktuelle Version sehen Sie in den Einstellungen: Einstellungen öffnen oben rechts.

    Sollten Sie mit dem neuen Update Probleme haben, zögern Sie bitte nicht und schreiben uns an support@divera247.app!

  • Identifizierung
    Identifizierung

    Ein Nutzer hat uns über eine mögliche Sicherheitslücke in der Monitor App informiert.
    Betroffen sind die Versionen von 0.3.0 bis zu den aktuellen Stable 1.1.2 und dem Beta Release 1.1.3-beta.0.
    Diese kann allerdings nur von einem Nutzer mit Schreibrechten innerhalb der gleichen Einheit ausgenutzt werden.
    Unsere Analysen zeigen, dass die Sicherheitslücke nicht aktiv ausgenutzt wird. Der mögliche Schaden wäre auch sehr begrenzt. DIVERA 24/7 ist selbst nicht betroffen, sondern der Rechner auf dem die Monitor Desktop App betrieben wird.

    Wir arbeiten aktuell am Update der Monitor App die die Sicherheitslücke schließt. Dafür muss die Monitor App nach Veröffentlichung einmal Neugestartet werden. Wir informieren hier, sobald das Update zur Verfügung steht.

    Hinweis: Die Monitor Desktop App ist eine Zusatzsoftware in der DIVERA 24/7 Monitore im Dauerbetrieb betrieben werden können, z. B. um automatisch Einsatzdepeschen zu Drucken oder Sprachansagen auszuführen. Wer den Monitor in einem regulären Browser verwendet ist von dieser Schwachstelle nicht betroffen. https://help.divera247.com/display/FAQ/Monitor+Desktop+App