24.01.2013 14:49
Alert! Backdoors in vielen Barracuda-Appliances
Fast alle Appliances von Barracuda Networks wurden mit fest voreingestellten Benutzeraccounts ausgeliefert, durch die man aus der Ferne über SSH auf die Geräte zugreifen kann. Darauf macht das österreichische CERT aufmerksam.
Der Sicherheitsforscher S. Viehböck vom SEC Consult Vulnerability Lab entdeckte in der Shadow-Datei der Appliances gleich mehrere Benutzeraccounts mit Namen wie product oder websupport. Die Accounts waren mit schwachen Passwörtern geschützt, die der Forscher nach eigenen Angaben mit Hilfe einer überschaubaren Passwortliste in kurzer Zeit ermitteln konnte. Löschen kann man die Backdoor-Accounts, die anscheinend der Fernwartung durch den Hersteller dienen sollen, nicht ohne weiteres.
Außerdem entdeckte Viehböck, dass der Netzwerkfilter iptables bei den Appliances zu lasch konfiguriert ist. Normalerweise werden Zugriffe von außen blockiert. Es gibt jedoch eine Ausnahme: Zugriffe aus den Adressblöcken 216.129.105.0/24 und 205.158.110.0/24, damit der Hersteller bei Bedarf auf die Geräte zugreifen kann.
Das Problem hierbei ist, dass in diesen Adressbereichen auch andere Firmen unterwegs sind, die mit Barracuda gar nichts zu tun haben. Wem es gelingt, sich von einer entsprechenden IP-Adresse aus mit der Appliance zu verbinden, kann sich also mit Hilfe der fest eingestellten Zugangsdaten dort via SSH anmelden.
Laut Viehböck sind die folgenden Appliances betroffen:
- Barracuda Spam and Virus Firewall
- Barracuda Web Filter
- Barracuda Message Archiver
- Barracuda Web Application Firewall
- Barracuda Link Balancer
- Barracuda Load Balancer
- Barracuda SSL VPN
Sowie jeweils die virtuellen Vx-Ausgaben.
Barracuda hat mit dem Sicherheitsupdate "Security Definition 2.0.5" auf die Sicherheitsprobleme reagiert. Das Update sorgt dafür, dass sich nur noch die Accounts "root", "remote" und "cluster" via SSH mit den Appliances verbinden dürfen. Bei den beiden letzteren erfolgt der Zugriff über das Public-/Private-Key-Verfahren. An den laschen Einstellungen des Netzwerkfilters ändert das Update nichts. Wer auf Nummer sicher gehen will, kann den SSH-Daemon laut Viehböck über die Experteneinstellungen abschalten.
In der Barracuda SSL-VPN-Applicance entdeckte der Forscher weitere Lücken, durch die man unter anderem ohne Authentifizierung über die API ein neues Adminpasswort festlegen kann. Auch hierfür verspricht "Security Definition 2.0.5" Linderung.
(rei)
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
