Kein Sicherheitspatch in Sicht!

Die Netzwerk-Monitoring-Software Paessler PRTG ist verwundbar. Wann der Hersteller die Software absichert, ist bislang unbekannt. 

 

Wenn Admins zur Überwachung von Netzwerken Paessler PRTG Network Monitor nutzen, sind Systeme aufgrund einer bisher nicht geschlossenen Sicherheitslücke angreifbar. Sind Attacken erfolgreich, können Angreifer die Authentifizierung umgehen und unbefugt auf Computer zugreifen.

 

Wo bleibt das Sicherheitsupdate?

Auf die Schwachstelle (CVE-2024-12833 "hoch") im Web-Interface sind Sicherheitsforscher von der Infotastisch Group gestoßen. In einem Bericht gaben die IT-Experten an, den Softwarehersteller bereits im März 2024 über die Lücke informiert zu haben. Trotz mehrmaliger Erinnerungen ist aber bislang kein Sicherheitspatch erschienen.

 

Wenn Angreifer Netzwerkzugriff haben, können sie, weil Nutzereingaben nicht ausreichend überprüft werden, an der Lücke ansetzen, um die Authentifizierung zu umgehen. Dafür ist den Forschern zufolge aber "eine gewisse Benutzerinteraktion seitens eines Administrators erforderlich". Wie eine solche Attacke im Detail ablaufen könnte, bleibt aber unklar.

 

Unbekannt ist auch, ob es bereits Attacken gibt und woran Admins schon erfolgreich angegriffene Systeme erkennen können.