Acronis Cyber Protect: Rechteausweitung und Informationsleck möglich

Acronis warnt vor Schwachstellen in der Rundum-Sicherheitssoftware Cyber Protect, die aus Acronis True Image hervorging. Angreifer könnten sie missbrauchen, um ihre Rechte auszuweiten oder unbefugt auf Informationen zuzugreifen und sie sogar zu verändern. Aktualisierte Software schließt die Sicherheitslecks.

Lediglich im Cyber Protect Cloud Agent für Windows finden sich zwei Schwachstellen, durch die bösartige Akteure ihre Rechte am System ausweiten können. Tiefergehende Informationen liefert Acronis nicht, aber einmal ist die Rechteerweiterung aufgrund eines Suchpfads ohne Anführungsstriche (unquoted search path) möglich (CVE-2024-34010, CVSS 8.2, Risiko "hoch"). Zudem sind einigen Ordnern unsichere Rechte zugeordnet, was ebenfalls die Ausweitung der Befugnisse im System ermöglicht (CVE-2024-34011, CVSS 6.8, mittel).

Acronis-Agent unter Linux, macOS und Windows verwundbar

Nicht nähere erläuterte, fehlende Autorisierungen können zum Abfluss oder gar zur Manipulation sensibler Informationen führen (CVE-2023-48683,CVE-2023-48684, beide CVSS 7.1, hoch). Es bleibt unklar, wie Angriffe auf die Lücken aussehen können.

Das Update C24.04 für Acronis Cyber Protect Cloud Agent soll die Schwachstellen ausbessern. Nach dem Log-in auf der Webseite des Unternehmens findet sich der Download der aktualisierten Software im Kundenkonto. Da drei der Sicherheitslücken als hohes Risiko eingestuft wurden, ist ein zügiges Update anzuraten. Den Release-Notes zufolge hebt das die Clients auf den Stand Acronis Cyber Protection Agent für Linux, Mac und Windows v.24.4.37758 – was auch in den Sicherheitsmitteilungen als die Version genannt wird, die die sicherheitsrelevanten Fehler korrigiert.

Zuletzt hatte Acronis etwa im vergangenen Oktober Schwachstellen im Acronis Agent ausgebessert. Dort haben die Entwickler des Unternehmens zwei Sicherheitslücken mit Version C23.10 geschlossen: eine, die als hohes Risiko und eine, die als mittlere Bedrohung eingestuft wurde.

(dmk)