Liebe Partner und Kunden,
wir freuen uns, Ihnen mitteilen zu können, dass das kürzlich aufgetretene Sicherheitsproblem im Zusammenhang mit der Schwachstelle im Webclient und Backend bei LDAP-Authentifizierung in unserer Software erfolgreich behoben wurde. Ihre Sicherheit und Zufriedenheit haben für uns höchste Priorität, und wir möchten Ihnen einen umfassenden Bericht über die Behebung dieses Problems zur Verfügung stellen, einschließlich einer ausführlichen Analyse der Ursache des Problems.
Zusammenfassung des Problems:
Wir wurden am Montag, den 13.11.2023, von einem Kunden darauf aufmerksam gemacht, dass man sich am Webclient ohne Passwort anmelden könnte. In der sofort eingeleiteten Analyse haben wir festgestellt, dass der Fall in der Cloud und On-Premise ohne LDAP-Authentifizierung nicht auftrat. Genau genommen trat der Fall nur in manchen On-Premise Umgebungen in Kombination mit einer bestimmten Konfiguration der LDAP-Authentifizierung auf. Der Fall trat nur auf dem Webclient auf. Die anderen Apps waren nicht betroffen.
Ursache:
Unsere Sicherheitsuntersuchung ergab, dass der Webclient den Versuch einer Anmeldung ohne Passwort zugelassen hat und manche LDAP Server für die Authentifizierung so konfiguriert sind, dass sie Anfragen ohne Authentifizierung (Unauthenticated simple Bind) zulassen und freigeben. Diese Einstellungen ermöglichten es, dass man sich ohne Passwort im Webclient authentifizieren und erfolgreich einloggen konnte.
Maßnahmen:
Software-Update: Wir haben diese Schwachstelle in der neuesten Backendversion 18.4.2 behoben, indem wir leere Passwörter im Eingabefeld des Webclients grundsätzlich nicht mehr erlauben. Zusätzlich prüft das Backend das Passwortfeld, bevor eine Anfrage zum LDAP Server versendet wird.
Konfigurationsänderungen: Zusätzlich empfehlen wir dringend, die Konfiguration am LDAP Server zu aktualisieren und Unauthenticated simple Bind pauschal zu verbieten.
Details zur Behebung:
Die aktualisierte Softwareversion umfasst nun, dass in erster Instanz der Webclient prüft, ob ein Passwort mitgegeben wurde. Wenn kein Passwort eingetragen wurde, wird der Loginprozess nicht fortgesetzt. Das Backend wiederum empfängt die Anfrage eines Clients und prüft zusätzlich, ob ein Passwort in der Anmeldung mitgegeben wurde. Stellt das Backend fest, dass das Passwort leer ist, wird keine Anfrage am LDAP Server erstellt. Die potenziell vorhandene Schwachstelle wurde damit im Fall einer Authentifizierung gegen LDAP effektiv minimiert. Gleichzeitig kann die dringend empfohlene Konfiguration am LDAP die aufgetretene Schwachstelle grundsätzlich eliminieren - und auch andere Apps und Services, welche auf den LDAP als zentrale Instanz der Authentifizierung angewiesen sind, umfassend schützen.
Nächste Schritte:
Wir empfehlen dringend, umgehend auf die neueste Softwareversion 18.4.2 zu aktualisieren und Ihre LDAP-Konfiguration zu überprüfen, um sicherzustellen, dass sie unsere Empfehlung widerspiegelt. Dieser proaktive Schritt maximiert die Sicherheit Ihrer Konten und Daten.
Dankeschön:
Wir möchten Ihnen unseren aufrichtigen Dank für Ihre Zusammenarbeit und Ihr Verständnis während dieses Prozesses aussprechen. Ihre Geduld und Unterstützung waren entscheidend für die schnelle Behebung dieses Sicherheitsproblems.
Fortgesetztes Engagement:
Bitte seien Sie versichert, dass wir uns dauerhaft für Sicherheit und Zuverlässigkeit einsetzen. Wir sind permanent bestrebt, umfassend und proaktiv Maßnahmen zu ergreifen und Ihre Informationen bestmöglich zu schützen.
Kontakt:
Sollten während des Aktualisierungsprozesses Schwierigkeiten auftreten oder Sie weitere Fragen haben, zögern Sie bitte nicht, sich an unser Supportteam unter +49 89 1222199 23 oder support@teamwire.eu zu wenden.
Ihr Vertrauen in unsere Software ist uns sehr wichtig, und wir sind bestrebt, die höchsten Standards für Sicherheit und Leistung beizubehalten.
Vielen Dank für Ihre Aufmerksamkeit in dieser Angelegenheit.
Mit besten Grüßen
Ihr Customer Success Team 🌟