VU#706118: Workhorse Software ... Notiz

VU#706118: Workhorse Software Services, Inc. Software vor Version 1.9.4.48019, Standardbereitstellung ist anfällig für mehrere Probleme.

Die Municipal Accounting Software von Workhorse Software Services, vor Version 1.9.4.48019, weist kritische Designfehler auf. Diese Fehler ermöglichen unbefugten Zugriff auf sensible kommunale Daten und ermöglichen die Exfiltration von Daten. Eine schwerwiegende Schwachstelle betrifft die Speicherung von Datenbankverbindungsinformationen im Klartext neben der Anwendungsexekutive. Dies ermöglicht es Personen mit Lesezugriff auf das Verzeichnis, SQL-Anmeldeinformationen wiederherzustellen, wenn die SQL-Authentifizierung verwendet wird. Darüber hinaus verfügt die Software über eine Funktion zur unauthentifizierten Datenbank-Sicherung, die selbst vom Anmeldebildschirm aus zugänglich ist. Diese Sicherung erstellt ein unverschlüsseltes ZIP-Archiv mit einer .bak-Datei, die ohne Passwort wiederhergestellt werden kann. Ein Angreifer könnte diese Schwachstellen ausnutzen, indem er beispielsweise physischen Zugriff auf eine Workstation erhält oder Malware einsetzt. Die Auswirkungen eines solchen Angriffs könnten die Exfiltration der gesamten Datenbank sein. Dies könnte sensible persönlich identifizierbare Informationen und umfassende kommunale Finanzaufzeichnungen offenlegen. Auch die Manipulation von Daten, die Untergrabung von Prüfpfaden und die Gefährdung des Finanzbetriebs stellen ein erhebliches Risiko dar. Das CERT/CC empfiehlt dringend, umgehend auf Version 1.9.4.48019 zu aktualisieren. Zusätzliche Abhilfemaßnahmen umfassen die Beschränkung des Zugriffs auf das Anwendungsverzeichnis und die Aktivierung der SQL Server-Verschlüsselung mit Windows-Authentifizierung.