Alert! Privater Schlüssel von Cyberoam-Appliances aufgetaucht

Der private Schlüssel, den die Sicherheits-Appliances von Cyberoam zur Deep-Packet-Inspection (DPI) von SSL-Verkehr nutzen, kursiert im Internet. Damit kann jeder im Netz der Cyberoam-Appliance den verschlüsselten Datenverkehr anderer Nutzer entschlüsseln. Als Reaktion hat der Hersteller einen Notfall-Patch veröffentlicht, der dafür sorgt, dass jedes Gerät ein eigenes CA-Zertifikat und den dazugehörigen privaten Schlüssel generiert.

Das Tor Project hatte vor einer Woche davor gewarnt, dass sämtliche Appliances dieses Herstellers offensichtlich den gleichen privaten Schlüssel für ihre interne CA nutzen, um die SSL-Zertifikate beim Überwachen von SSL-Traffic auszustellen. Cyberoam gab daraufhin in seinem Blog Entwarnung: "Cyberoams private Schlüssel können nicht extrahiert werden, selbst wenn man die Box auseinandernimmt oder seine Hardware oder Software klont. Dadurch sind sämtliche Manipulationsmöglichkeiten mit den in Appliances befindlichen Zertifikaten ausgeschlossen." Offenbar war das ein Trugschluss, wie auch das Unternehmen mittlerweile festgestellt zu haben scheint; dieser Abschnitt wurde nachträglich aus dem Blog-Eintrag entfernt. Nach der Änderung besagt der Beitrag lediglich, dass die Applicances keine Im- und Export-Funktion für die Schlüssel bieten.

Das jetzt veröffentlichte Update wird nach Angaben des Herstellers automatisch installiert. Es soll dafür sorgen, dass die Appliance automatisch einen einzigartigen privaten Schlüssel erstellt. Nach Angaben des Herstellers ist es branchenüblich, nur einen privaten Schlüssel auf allen Appliances einzusetzen. Eine Recherche von heise Security ergab, dass etwa Fortinet-Appliances offenbar eine "CA_SSLProxy" mitbringen, die ebenfalls auf allen Geräten identisch ist. (rei)