Jump to content

FMS kwetsbaarheid


Recommended Posts

Posted (edited)

Ik gooi het maar even in de groep.

Matt Petrowski wijst op een eerder geregistreerd beveiligingsgat (eigenlijk een combinatie van drie ernstige issues) in 

FileMaker / FileMaker server, dat op dit moment wereldkundig begint te worden. Daarmee wordt het probleem urgenter.

Het betreft onder meer een 'dylib hijacking vulnerability' (hij legt het uit...). Hij doet er zeer gealarmeerd over, en dat lijkt mij niet geheel onterecht.

Bron is https://fm-security.com (Alexey Dubov). De 'vulnaribility' is officieel al sinds mei dit jaar geregistreerd bij het CVE Program (een centraal register van kwetsbaarheden in software). Het betreft: CVE-2023-42920CVE-2024-27790 en CVE-2024-23202.

De problemen zijn opgelost, maar niet in versies < 19.6.4 of <20.3.2! Dus mocht je nog op 19 draaien, of niet de laatste 20 versie, kom dan in actie.

Petrowski geeft een paar tips om aan de kwetsbaarheden te ontkomen. In ieder geval updaten naar de meest recente FMS-versie:

https://www.filemakermagazine.com/videos/filemaker-server-was-hacked

 

Quote

Brought to you by https://www.filemakermagazine.com - DON'T USE OLDER VERSIONS OF FILEMAKER SERVER ON THE PUBLIC INTERNET.

Update to version 19.6.4 or 20.3.2 or higher!
https://www.cve.org/CVERecord?id=CVE-...

There was a VERY serious security issue discovered about FileMaker Server. This discovery should cause you to immediately evaluate your security risk. Become informed about how it works and what other things you should know about FileMaker Security.

Full details at https://fm-security.com
Another great FileMaker security site at https://davidhamann.de

Lookup a CVE
https://www.cve.org/

Search the NIST NVD (National Vulnerability Database)
https://nvd.nist.gov/vuln/search

#filemakerserver #filemakersecurity
 

 

 

Edited by Marsau
aanvulling
Posted

De hack die Alex van fm-security.com laat zien is een hele zorgelijke, maar hij laat hem 100% zien op localhost. Het probleem met zijn man-in-the-middle-attack betreft het verkeer over poort 5003, dus het normale FM gebruik, maar als je alleen poort 443 voor DataAPI, Webdirect of CWP op hebt staan, dan treft dit je niet. 

Op localhost verloopt de communicatie van de client met FMServer sowieso onversleuteld en een stagiair liet mij in 2009 al eens zien dat (toen hadden we nog geen ssl-certificaten op fmserver) hij de tekstblokken die tussen fms en fmp over het netwerk gingen, probleemloos kon meelezen.

Ik had liever gezien dat hij zijn demo in een real-world scenario had uitgevoerd. Om in te breken moet hij eerst weten waar er een client zit en waar er een server zit. Hij moet ook al voorbij de 'filtering' van fmserver zijn, voordat hij een lijst kan 'sniffen' met beschikbare files en account. Dus hoe realistisch is deze dreiging werkelijk?

De oplossing is overigens het instellen van https-tunneling (kan dus alleen vanaf fmp 2023). Inschakelen is een vinkje omzetten in Configuration/FileMaker Clients/Networking en op Windows kan je dan nog nginx activeren om de tunneling via die webserver-service te laten verlopen. (CWP, Webdirect, Data API en Admin API blijven op Windows verlopen via IIS)

Posted

Waarom heb je het probleem niet wanneer je alleen poort 443 gebruikt?

Ik kreeg in het filmpje van onze Matt een andere indruk, dat het juist niet slechts lokaal verkeer betreft. Hoe interpreteer je zijn verhaal?

Posted

De kwetsbaarheid gaat over verkeer van en naar de draco-engine, het verkeer tussen fmpro en fmserver. Vanaf fm 2023 hebben ze https-tunneling geïntroduceerd, op poort 443. Het overige verkeer op poort 443 is http over ssl en dat is gewoon veilig

Ik heb het filmpje met de demo van Alexey op fm-security.com bekeken (Matt praat alleen en demo't niks), mjn opmerkingen gaan daarover

Posted

Ik heb op mijn eigen servers nu https-tunneling geactiveerd. 1 Mac- (mijn laptop), 1 Ubuntu- en 2 Windows-servers. Het lijkt me goed daar eens een tijd mee te draaien en ervaring op te doen.

Het activeren gaat gemakkelijk, op MacOS en Ubuntu is het simpelweg het vinkje in Configuration/FileMaker Clients/Networking bij 'HTTPS tunneling' aanzetten. Op Windows kan je eventueel nginx activeren, dan verlopen de fmnet-verbindingen via die service, alle andere web-services (webd, cwp, dapi en aapi) blijven gewoon op IIS. 

De eerste ervaringen kan ik alvast delen:

  1. Poort 5003 wordt niet dichtgezet! Dus in een lokal netwerk kan je gewoon op de oude manier blijven werken. De FmServer shared de DB's op beide poorten.
  2. Om van de bescherming 'te genieten' moet de toegang naar de server vanaf internet over poort 5003 worden afgesloten. Dus de betreffende NAT-regel in de router/firewall aanpassen of verwijderen of als de server extern staat in de firewall van de server zelf afsluiten.
  3. Qua snelheid en stabiliteit zie ik geen enkel verschil (maar ja ik zit bijna altijd alleen te werken, dus dat is echte geen maatstaf)
  4. Je kan de filemaker pro/go client alleen instellen op wél of géén https-tunneling gebruiken. Dat is soms wat lastig bij klanten, die https-tunneling niet hebben ingeschakeld. Via een scriptje wél/géén tunneling meesturen (zoals op MacOS met UI-taal wél kan) zou soms wel handig zijn.
  • 2 weeks later...
Posted

Status-update: de https-tunneling (HT) bevalt me eigenlijk prima.

Ik zit bij mijn klanten zoals gebruike(r)lijk op poort 5003 te werken (zij hebben nog geen https-tunneling beshikbaar :-( ).
Stel in die client de voorkeuren van fm HT in.
Open een extra fmp-client, open mijn eigen db's met HT en schakel in de voorkeuren meteen HT weer uit.

Beide fmp-client draaien probleemloos door, de ene zonder HT en de andere mét. Open ik nóg een fmp-client, dan start die zonder HT en kan ik een ander bestand bij mijn klant openen of een andere server zonder HT benaderen.

Kortom, men moet even opletten welk protocol men wil gebruiken, maar dat is het enige, dus ik ben om en blijf voor mijn fmservers die aan internet hangen HT gebruiken.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...