Die Miele Appliance PG 8528 leidet unter einem Sicherheitsleck der Kategorie Web Server Directory Traversal. Bei dem Gerät handelt es sich um einen Reinigungs- und Desinfektionsautomaten, der vor allem für den Einsatz in Krankenhäusern und Laboren konzipiert ist. Das Gerät verfügt über eine Schnittstelle zum Internet und über einen Webserver.
Allerdings können Angreifer über diesen Webserver auch auf Dateien zugreifen, die nicht für den Webserver freigegeben sind. Darüber ist es möglich, Inhalte auszuspähen oder aber auch die Dateien zu verändern und diese den Webserver ausführen zu lassen.
Update 29. März 2017: Inzwischen hat Miele zu dem Vorfall Stellung genommen. Die ausführliche Erläuterung und eine Einordnung finden Sie in diesem Beitrag bei silicon.de.
Der Sicherheitsfachmann Jens Regel hat den Fehler jetzt über Full Disclosure veröffentlicht. Laut dem Advisory [CVE-2017-7240] hat Regel das Leck Mitte November entdeckt und daraufhin nach einem Sicherheitsbeauftragen bei Miele gefragt. Anfang Dezember habe er dann die Details seiner Entdeckung an einen Produktbeauftragten geschickt. Nachdem er jeweils im Januar und im Februar nochmal auch auf Nachfrage keine weiteren Informationen bekommen hatte, machte er das Leck am 23. März öffentlich.
Auf eine Anfrage von silicon.de bei Miele zu dem Fehler und die Frage, weshalb nicht auf die Meldung reagiert wurde, liegt derzeit noch keine Antwort vor. Wie aus dem Produktblatt zum PG 8529 hervorgeht, ist das Gerät “fernservicefähig”.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Ein Fix für dieses Leck ist bislang nicht bekannt. Regel führt aus, dass der eingebettete PST10 Webserver am Port 80 lauscht und darüber über eine Directory Traversal Attack angegriffen werden kann. “Daher kann ein unauthentifizierter Angreifer über dieses Leck auf sensible Informationen zugreifen und so Informationen für weitere Angriffe abgreifen.” Regel vergibt für dieses Leck den CVSS-Wert 5.0, was einer mittleren Gefährdung entspricht.
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…
View Comments
Leider ist diese Ignoranz Praxis vieler vermeintlicher großer Unternehmen. An deren Stelle wäre ich froh, wenn sich innovative externe Fachleute konstruktiv mit ihren Produkten auseinandersetzen. Hochmut kommt bekanntlich vor dem Fall.