Een kritieke kwetsbaarheid in de software Checkbox Survey wordt actief door aanvallers gebruikt om servers aan te vallen. Checkbox biedt software voor het maken van online enquêtes en onderzoeken. Het bedrijf claimt dat het wereldwijd honderden klanten heeft, waaronder grote bedrijven en organisaties als Microsoft, Philips, de NAVO, Boeing, Vodafone, Pfizer en Unilever.
Checkbox Survey versie 6 en eerder bevatten een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand op kwetsbare servers willekeurige code met de rechten van de webserver kan uitvoeren. Het beveiligingslek wordt veroorzaakt doordat de software niet goed omgaat met ASP.NET View State data. Om aanvallen via malafide gebruikersinvoer te voorkomen kan ASP.NET van een ViewState Message Authentication Code (MAC) gebruikmaken.
In het geval van Checkbox Survey versie 6 en ouder wordt de MAC-instelling op de server genegeerd. Zonder de MAC kan een aanvaller willekeurige data creëren wat tot het uitvoeren van willekeurige code op de server leidt, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De organisatie stelt dat er actief misbruik van het beveiligingslek wordt gemaakt.,
Het CERT/CC meldt dat Checkbox Survey versie 6 niet meer wordt ondersteund, maar het softwarebedrijf laat op de eigen website weten dat de Checkbox Survey versie 6 vanaf 1 juli 2021 pas end-of-life zal zijn. De kwetsbaarheid is niet aanwezig in versie 7 van de software. Het CERT/CC raadt organisaties aan om versie 6, wanneer een update naar versie 7 niet mogelijk is, van systemen te verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.