Impact
Een externe, niet-geverifieerde aanvaller kan door mappen bladeren in de webroot van een ZoneMinder-installatie [S1]. Deze blootstelling maakt de openbaarmaking van gevoelige systeeminformatie mogelijk en kan leiden tot een volledige omzeiling van de authenticatie, waardoor ongeautoriseerde toegang wordt verleend tot de beheerinterface van de applicatie [S1].
Oorzaak
Het beveiligingslek wordt veroorzaakt door een gebrekkige Apache HTTP Server-configuratie gebundeld met ZoneMinder versies 1.29 en 1.30 [S1]. De configuratie kan de directory-indexering niet beperken, wat ertoe leidt dat de webserver directoryvermeldingen aanbiedt aan niet-geverifieerde gebruikers [S1].
Sanering
Om dit probleem op te lossen, moeten beheerders ZoneMinder updaten naar een versie die de gecorrigeerde webserverconfiguratie [S1] bevat. Als een onmiddellijke upgrade niet mogelijk is, moeten de Apache-configuratiebestanden die zijn gekoppeld aan de ZoneMinder-installatie handmatig worden versterkt om directory-indexering uit te schakelen en strikte toegangscontroles op de webroot [S1] af te dwingen.
Detectieonderzoek
Uit onderzoek naar dit beveiligingslek blijkt dat de detectie gepaard gaat met het identificeren van ZoneMinder-instanties en het proberen toegang te krijgen tot de webroot of bekende submappen zonder authenticatie [S1]. Een kwetsbare status wordt doorgaans aangegeven door de aanwezigheid van standaard directorylijstpatronen, zoals de tekenreeks "Index van /", in de HTTP-antwoordtekst wanneer er geen geldige sessie aanwezig is [S1].