Update der Monitor Desktop App auf 1.1.3 notwendig
Eine Sicherheitslücke betrifft die Versionen 0.3.0 bis 1.1.3.beta-0
Hinweis: Die "Monitor Desktop App" ist eine Zusatzsoftware in der DIVERA 24/7 Monitore im Dauerbetrieb betrieben werden können, z. B. um automatisch Einsatzdepeschen zu Drucken oder Sprachansagen auszuführen. Wer den Monitor in einem regulären Browser verwendet ist von dieser Schwachstelle nicht betroffen.
Tätig werden müssen also nur Nutzer dieser Zusatzsoftware!
Am 12.10.2023 wurden wir durch ein Ticket eines Kunden auf eine Sicherheitslücke in unserer Windows/Linux Zusatz-App "Monitor Desktop App" informiert.
Betroffene und behobene Versionen
Nur NutzerInnen der "Monitor Desktop App" mit Version 1.1.2 oder älter, sowie 1.1.3-beta.0 sind betroffen und der Angriffsvektor muss von einem anderen DIVERA 24/7 Nutzer der gleichen Einheit mit Schreibrechten ausgeführt werden. Dann kann es zu einer Command Injection auf dem betroffenen Rechner kommen. Der Dienst DIVERA 24/7 ist von der Lücke selbst nicht betroffen.
Aufgrund dieser Einschränkung kommen wir auf einen Base Score von 6.6 gemäß CVSS 3.1
Version überprüfen und aktualisieren
Gemäß unseres Informationssicherheitsmanagementsystems wurde die Sicherheitslücke umgehend analysiert und gegen 18 Uhr das Update "1.1.3" zur Verfügung gestellt. Bei Windows-Systemen sollte dafür ein Neustart der App reichen, bei Linux muss entsprechend das Appimage gelöscht und neu herunterladen werden. Weitere Informationen haben wir in unserem FAQ-Artikel gesammelt: Zur FAQ: Monitor Desktop App Download
Nur wer unter "Einstellungen -> zu den Einstellungen" die Version "1.1.3" oder neuer stehen hat, hat das Update korrekt ausgeführt!
Bislang nicht ausgenutzt
Durch Analyse unserer Logdateien können wir verifizieren, dass die Lücke im von ihnen abgedeckten Zeitraum nicht ausgenutzt wurde. Trotzdem wichtig: Alle NutzerInnen der Monitor Desktop App sollten sofort die aktuellste Version installieren.
Benachrichtigungen erhalten über divera247-status.de
Über Probleme mit unserer Software informieren wir grundsätzlich über unsere Statuspage divera247-status.de Hier können auch alle Miteilungen oder spezifische Komponenten abonniert werden Zum Statuspage Incident
In besonders kritischen Fällen oder bei Systemausfällen informieren wir auch per Systeminfo-Newsletter, allerdings wird dies technisch und organisatorisch bedingt immer zu einem späteren Zeitpunkt passieren und ist mit den E-Mail üblichen Problemen behaftet.
Ausführung von Powershell-Scripts
Bei der Version 1.1.3 kann es unter Windows zu Problemen bei der Ausführung von Powershell Skripten kommen, diese sind in Version 1.1.4 behoben. Falls Sie weitere Hilfe benötigen unterstützt Sie hierbei unser Kundendienst.
Eine detailliertere Beschreibung und ggf. notwendige zusätzliche Maßnahmen werden wir nächste Woche veröffentlichen.[Siehe Update unten]
Danksagung
Im Rahmen des Anspruchs der kontinuierlichen Verbesserung freuen wir uns natürlich über Feedback!
Ein besonderer Dank geht natürlich an den Nutzer der die Schwachstelle gefunden und gemeldet hat, sowie an unsere Mitarbeiter die gestern und in den nächsten Tagen maßgeblich oder unterstützend am Störungsbehebungsprozess beteiligt sind.
Um auch zukünftig schnell und schlagkräftig auf die Herausforderungen der Informationssicherheit reagieren zu können, suchen wir übrigens weitere Linux-Systemadministratoren und Administratorinnen!
Update vom 18. 10. 2023
Leider zeigt unsere Auswertung, dass erst circa 10% der "Monitor Desktop App" Instanzen das Update abgeschlossen haben. Auf Grund dessen verzichten wir heute auf eine detaillierte Beschreibung der Sicherheitslücke. Wir haben nun zusätzlich per Systeminformation auf das Update und diesen Post verwiesen.
Unsere Auswertungen zeigen aber bisher weiterhin keinen einzigen Angriffsversuch über diese Lücke. Wir werden diese Überwachung natürlich aufrecht erhalten.
Update vom 31.10.2023
Sicherheitsupdate der Desktop-App wird am 14.11. erzwungen
Aus unseren Metriken ergibt sich, dass ca. 40 % der Installationen der Monitor Desktop App (Windows/Linux) bereits auf die gepatchte Version 1.1.3 aktualisiert haben.
Um alle Anwender der Desktop-App zu erreichen, werden wir serverseitig ein Update auf die neuste Version erzwingen. Dieser Mechanismus stellt sicher, dass das Sicherheitsupdate heruntergeladen und installiert wird.
Manueller Neustart notwendig
Diese Maßnahme haben wir bislang nicht ergriffen, da dieser Mechanismus ebenfalls dazu führt, dass sich das Programm selbst schließt und manuell erneut geöffnet werden muss. Falls ein täglicher Autostart per Cron-Job o.ä. bereits eingerichtet ist, wird diese sich zu dem Zeitpunkt in der neuen Version starten.
Version 1.1.4 verbessert Auto-Update
Um zukünftig dringende Sicherheitsupdates der Desktop-App erzwingen zu können, ohne dass Nutzer:innen sie neu öffnen müssen, haben wir am 31.10. eine weitere neue Version mit der Versionsnummer 1.1.4 veröffentlicht. Sie stellt unter Windows und Linux sicher, dass dringende Sicherheitsupdates im Hintergrund installiert werden und danach die App sich selbstständig in der aktualisierten Version öffnet.
Jetzt aktualisieren!
Um einen manuellen Neustart zu vermeiden, sollten Sie bis zum 14.11. auf die neuste Version 1.1.4 aktualisieren. Wie Sie Ihre Version überprüfen und ein Update manuell anstoßen können, haben wir in unserer FAQ beschrieben: https://help.divera247.com/pages/viewpage.action?pageId=119865789
