Schwachstellen in Netwrix PingCastle Pro/Enterprise (Nov. 2024)

Publiziert am 15. November 2024 von Günter Born

Stop - Pixabay[English]Kurze Information für Administratoren und IT-Dienstleister, die PingCastle (gehört nun zu Netwrix) zur Analyse der Active Directory-Sicherheit einsetzen. Wegen Schwachstellen im Code sollten ältere Versionen der Enterprise und Pro-Ausgaben des Tools aus Sicherheitsgründen nicht mehr verwendet werden. Netwrix hat PingCastle Enterprise und Pro auf die Version 3.3.0.1 o aktualisiert, um die Schwachstellen zu schließen.

Was ist Netwrix PingCastle?

PingCastle ist ist ein Tool zur schnellen Bewertung eines Active Directory-Sicherheitsniveaus. Semperis fasst es hier so zusammen: PingCastle kann Berechtigungen schnell scannen, um solche Delegationsschwachstellen zu erkennen. Das Tool liefert auch einen Bericht auf der Grundlage einer Anomalie-Analyse, der Einblicke in unerwünschte Zugriffsrechte bietet, die für kritische Objekte in Ihrer AD-Umgebung bestehen könnten. Neben der Bewertung von AD-Implementierungen scannt PingCastle Workstations auf Probleme wie lokale Administratorrechte, offene Freigaben mit unzureichenden Sicherheitsberechtigungen, WannaCry-Schwachstellen und Unregelmäßigkeiten bei der Startzeit. PingCastle wurde inzwischen von Netwrix übernommen.

PingCastle wegen Schwachstelle updaten

Blog-Leser Andy Wendel hat mich heute auf Facebook in einer privaten Nachricht kontaktiert (danke dafür) und darüber informiert, dass Administratoren PingCastle in bestimmten Versionen und Ausgaben nicht mehr verwenden sollten. In älteren Versionen von PingCastle Enterprise und PingCastle Enterprise Pro gibt es wohl einen (aktuell noch nicht ausgenutzten) Angriffsvektor, mit dem Active Directory-Installationen gefährdet werden.

Bereits zum 1. November 2024 scheint es eine Sicherheitswarnung von Netwrix an Kunden gegeben zu haben, die dann am 14. November 2024 aktualisiert wurde. Der Inhalt der Sicherheitswarnung lautet, dass bei einer routinemäßigen Sicherheitsüberprüfung von Netwrix in PingCastle Enterprise und PingCastle Enterprise Pro mehrere Schwachstellen identifiziert und behoben wurden.

Die Schwachstellen können es einem Angreifer ermöglichen, PingCastle Enterprise und Pro nicht mehr benutzbar zu machen oder unbefugten Zugriff auf die Anwendung zu  ermöglichen. Netwrix liegen aber bisher keine Hinweise auf eine aktive Ausnutzung einer dieser Schwachstellen vor.

Allen Kunden von Netwrix PingCastle Enterprise und Pro wird empfohlen, PingCastle Enterprise und PingCastle Enterprise Pro so schnell wie möglich auf Version 3.3.0.1 oder höher zu aktualisieren.

Liste der Schwachstellen

Hier noch eine Liste der von Netwrix in PingCastle Enterprise und PingCastle Enterprise Pro dokumentierten Schwachstellen:

Broken Authentication – API Key State Ignored

Netwrix PingCastle Enterprise and Pro in den Versionen vor < 3.3.0.1 7.7 erlauben den Zugriff mit deaktivierten API-Schlüsseln, was es einem Angreifer, der im Besitz des deaktivierten API-Schlüssels ist, ermöglichen kann, unbefugten Zugriff auf die Anwendung zu erhalten. Die Schwachstelle wurde mit einem CVSS 3.1 Score von 6.5 bewertet.

Account Policy – Weak Lockout Policy

Netwrix PingCastle Enterprise and Pro in den Versionen vor < 3.3.0.1 7.6 setzen keine Kontosperrungsrichtlinie (account lockout policy) durch. Das erhöht die Wahrscheinlichkeit, dass ein böswilliger Akteur durch Wörterbuchangriffe auf bekannte Benutzerkonten, bei denen MFA nicht aktiviert ist, unbefugten Zugriff auf die Anwendung erlangen kann. Die Schwachstelle wurde mit einem CVSS 3.1 Score von 7.1 bewertet.

Denial of Service – Shared Resource Lock

Netwrix PingCastle Enterprise and Pro in den Versionen < 3.3.0.1 4.9 verwenden eine gemeinsam genutzte Ressource, um Brute-Force-Angriffe auf Konto-Wiederherstellungs-Codes zu verhindern. Dies können es einem Angreifer ermöglichen, einen Denial-of-Service-Angriff (DOS) auszuführen, durch den die Anwendung für die Dauer des Angriffs nicht mehr verfügbar ist. Die Schwachstelle wurde mit einem CVSS 3.1 Score von 4.6 bewertet.

Published: November 14, 2024
Executive Summary
Several vulnerabilities were identified and remediated during a routine security review of Netwrix PingCastle Enterprise and Pro. The vulnerabilities may allow an attacker to render PingCastle Enterprise and Pro unavailable or to gain unauthorized access to the application.

Netwrix is unaware of any evidence of active exploitation of any of these vulnerabilities.

Vulnerability
Title Affected Component Affected Versions CVSS 4.0 Score CVSS 3.1 Score (Base / Temporal) Description

Broken Authentication – API Key State Ignored Netwrix PingCastle Enterprise and Pro < 3.3.0.1 7.7
7.5 / 6.5
Netwrix PingCastle Enterprise and Pro allow access using API keys that have been disabled which may allow an attacker in possession of the disabled API key, to gain unauthorized access to the application.

Account Policy – Weak Lockout Policy Netwrix PingCastle Enterprise and Pro < 3.3.0.1 7.6
8.1 / 7.1
Netwrix PingCastle Enterprise and Pro do not enforce an account lockout policy which increases the chance that a malicious actor could gain unauthorized access to the application by conducting dictionary attacks against known user accounts which do not have MFA enabled.

Denial of Service – Shared Resource Lock Netwrix PingCastle Enterprise and Pro < 3.3.0.1 4.9
5.3 / 4.6
Netwrix PingCastle Enterprise and Pro use a shared resource to prevent brute force attacks against account recovery codes which may allow an attacker to execute a denial of service (DOS) attack rendering the application unavailable for the duration of the attack.

Exploitability
Factors such as whether details about the vulnerability are publicly known, whether an exploit is readily available, or whether adversaries are actively exploiting the vulnerability are valuable in making risk-based judgements about urgency and priority; customers should use the information below in making those decisions.

Title Publicly known? Exploit available? Actively exploited?
Broken Authentication – API Key State Ignored No No No
Account Policy – Weak Lockout Policy No No No
Denial of Service – Shared Resource Lock No No No
Solution

All Netwrix PingCastle Enterprise and Pro customers are advised to update PingCastle Enterprise and Pro to version 3.3.0.1 or later as soon as possible.

Instructions for the Netwrix PingCastle Enterprise upgrade process can be found in this help center article.

Instructions for the Netwrix PingCastle Pro upgrade process can be found in this help center article.

Please contact the Netwrix technical support team should you need assistance.

Official Fixes: Updated software has been released containing official fixes for all listed vulnerabilities as indicated in the table below. Please ensure you apply the correct hotfix to the version of Netwrix PingCastle you are using.

Title Version
Broken Authentication – API Key State Ignored 3.3.0.1
Account Policy – Weak Lockout Policy 3.3.0.1
Denial of Service – Shared Resource Lock 3.3.0.1

FAQ
1. How do I determine the current version of Netwrix PingCastle?

The current Netwrix PingCastle Enterprise and Pro version can be found by clicking the About link at the bottom each page in Netwrix PingCastle Enterprise and Pro.

2. Are Netwrix PingCastle Basic or Standard versions affected?

No, only Netwrix PingCastle Enterprise and Pro is affected by the vulnerabilities listed above.

Revision Date Description
1 November 14, 2024 First published

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert