image

Carbon Black ontkent rapport over lek in beveiligingssoftware

woensdag 9 augustus 2017, 16:51 door Redactie, 1 reacties

Securitybedrijf Carbon Black ontkent het rapport van een ander securitybedrijf dat er een lek in de beveiligingssoftware zit waardoor bestanden van klanten naar de cloud worden geupload en daar voor allerlei andere organisaties, overheidsdiensten en andere partijen toegankelijk is. Securitybedrijf DirectDefense publiceerde het rapport over een kwetsbaarheid in Cb Response, een anti-malwareproduct van Carbon Black.

Volgens DirectDefense heeft het encryptiesleutels van clouddiensten zoals Amazon, Google en Azure, app-sleutels, interne gebruikersnamen, wachtwoorden en netwerkgegevens, klantgegevens en handelsgeheimen van verschillende Fortune 1000-bedrijven gevonden die via de beveiligingssoftware van Carbon Black zouden zijn gelekt. Carbon Black stelt dat het rapport incorrect is.

De beveiligingssoftware die het aanbiedt heeft een optie om onbekende of verdachte bestanden naar cloud-gebaseerde 'multi-scanners' te uploaden. Het gaat dan om diensten zoals VirusTotal die geuploade bestanden met de engines van tientallen anti-virusbedrijven scannen. Geuploade bestanden of de metadata of hashes daarvan, zijn vervolgens toegankelijk voor derden, zoals onderzoekers.

De optie staat echter standaard uitgeschakeld. Er is dan ook geen sprake van een 'architecturale kwetsbaarheid', zo laat Carbon Black weten. Als gebruikers het wel inschakelen verschijnt er een melding waarin voor de risico's wordt gewaarschuwd. In het geval er via de optie toch gevoelige gegevens zijn geupload wil het securitybedrijf aan Google vragen, dat de eigenaar van VirusTotal is, om die te verwijderen. Verder stelt Carbon Black dat het niet voor publicatie van het rapport door DirectDefense is benaderd om de bevindingen te verifiëren.

Reacties (1)
10-08-2017, 21:03 door Anoniem
Het betreft hier de mogelijkheid om executables/binaries naar de multiscanner van Virus Total te sturen om te bekijken of er reputatie bekend is van deze file. Carbon Black adviseert om niet de binary maar de hash te laten controleren, de functie om de binary te checken staat derhalve ook standaard uit. Als gebruiker van de software dien je deze optie zelf aan te zetten, alvorens eerst een duidelijke waarschuwing te krijgen waarom dit niet word geadviseerd. Er is dus geen ''flaw'' in de architectuur en er is zeker geen data gelekt, gezien de eindgebruiker hier specifiek voor kiest en ook de gebruikersvoorwaarden van VT accepteert.

Overigens is het ook niet verstandig om als je er dan toch voor kiest een binary naar VT te sturen, hier plain text, hard coded credentials of keys in te zetten, maar dat is weer een andere discussie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.