Die Miele Appliance PG 8528 leidet unter einem Sicherheitsleck der Kategorie Web Server Directory Traversal. Bei dem Gerät handelt es sich um einen Reinigungs- und Desinfektionsautomaten, der vor allem für den Einsatz in Krankenhäusern und Laboren konzipiert ist. Das Gerät verfügt über eine Schnittstelle zum Internet und über einen Webserver.
Allerdings können Angreifer über diesen Webserver auch auf Dateien zugreifen, die nicht für den Webserver freigegeben sind. Darüber ist es möglich, Inhalte auszuspähen oder aber auch die Dateien zu verändern und diese den Webserver ausführen zu lassen.
Update 29. März 2017: Inzwischen hat Miele zu dem Vorfall Stellung genommen. Die ausführliche Erläuterung und eine Einordnung finden Sie in diesem Beitrag bei silicon.de.
Der Sicherheitsfachmann Jens Regel hat den Fehler jetzt über Full Disclosure veröffentlicht. Laut dem Advisory [CVE-2017-7240] hat Regel das Leck Mitte November entdeckt und daraufhin nach einem Sicherheitsbeauftragen bei Miele gefragt. Anfang Dezember habe er dann die Details seiner Entdeckung an einen Produktbeauftragten geschickt. Nachdem er jeweils im Januar und im Februar nochmal auch auf Nachfrage keine weiteren Informationen bekommen hatte, machte er das Leck am 23. März öffentlich.
Auf eine Anfrage von silicon.de bei Miele zu dem Fehler und die Frage, weshalb nicht auf die Meldung reagiert wurde, liegt derzeit noch keine Antwort vor. Wie aus dem Produktblatt zum PG 8529 hervorgeht, ist das Gerät “fernservicefähig”.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Ein Fix für dieses Leck ist bislang nicht bekannt. Regel führt aus, dass der eingebettete PST10 Webserver am Port 80 lauscht und darüber über eine Directory Traversal Attack angegriffen werden kann. “Daher kann ein unauthentifizierter Angreifer über dieses Leck auf sensible Informationen zugreifen und so Informationen für weitere Angriffe abgreifen.” Regel vergibt für dieses Leck den CVSS-Wert 5.0, was einer mittleren Gefährdung entspricht.
Mit SAP S/4HANA und Cloud-Technologien legt der Intralogistik-Spezialist Basis für eine zukunftsweisende IT-Architektur.
Automatisiertes Management von iPads sorgt für reibungslosen Betrieb sowie Sicherheit und verlässlichen Datenschutz.
Der aufstrebende Trojaner wird in professionellen Kampagnen eingesetzt, die Plattformen wie TryCloudflare und Dropbox zur…
Investitionsbemühungen der Unternehmen werden nur erfolgreich sein, wenn sie die Datenkomplexität, -sicherheit und -nachhaltigkeit bewältigen…
Generative KI kann falsch liegen oder vorurteilsbehaftete Ergebnisse liefern. Maßnahmen, mit denen Unternehmen das Risiko…
82 Prozent der Unternehmen sind der Meinung, die aktuelle Konjunkturkrise sei auch eine Krise zögerlicher…
View Comments
Leider ist diese Ignoranz Praxis vieler vermeintlicher großer Unternehmen. An deren Stelle wäre ich froh, wenn sich innovative externe Fachleute konstruktiv mit ihren Produkten auseinandersetzen. Hochmut kommt bekanntlich vor dem Fall.