Deutsch | English

Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)

24. Jänner 2013

CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult Vulnerability Lab meldet, gibt es in fast allen Barracuda Networks Produkten mehrere kritische Schwachstellen.

CERT.at bittet Benutzer dieser Produkte um Beachtung dieser Meldung. Wir empfehlen, Patches von Barracuda Networks zeitnah einzuspielen (Security Definition Version 2.0.5.) und diese Security Appliances durch eine extra Firewall abzusichern.

Beschreibung

Backdoor Accounts und SSH Backdoor

Auf den betroffenen Systemen (siehe unten) gibt es mehrere undokumentierte Benutzeraccounts mit schwachen Passwörtern, die Zugang zum System verschaffen können. Diese Accounts können ohne weitere Tricks nicht deaktiviert werden.
Weiters gibt es auf den betroffenen Systemen zu unscharfe Firewall Regeln, die es einem größeren Netzwerkbereich erlauben, oben genannte Backdoor Accounts zu verwenden ("Remote Wartung"). Diese Netzwerkbereiche sind: 216.129.105.0/24 und 205.158.110.0/24. Dort befinden sich einerseits Remote Wartungs Server von Barracuda Networks aber auch andere Firmen, die nicht mit Barracuda Networks in Verbindung stehen. Diese Kombination erlaubt es unberechtigten Benutzern aus diesen Bereichen, all diese Appliances zu kontrollieren.

Für Details zu den unsicheren Passwörtern möchten wir den Leser auf den Bericht von SEC Consult Vulnerability Lab verweisen. SEC Consult Vulnerability Lab geht davon aus, dass diese Lücke schon seit langem existiert hat.

Barracuda Networks SSL VPN Authentication Bypass

Weiters berichtet SEC Consult Vulnerability Lab, dass es eine Server-seitige "authentication bypass" Schwachstelle gibt. Dabei kann ein Angreifer ohne Anmeldung System-Parameter ändern und sich somit weitern Zugang zum System verschaffen. Diese Schwachstelle betrifft jedoch nur Barracuda SSL VPN.

Auswirkungen

Ein Angreifer kann die betroffenen Barracuda Network Produkte beliebig kontrollieren. Da diese oft an kritischen Stellen im Unternehmen installiert sind (z.B. SSL VPN Zugang), ist Angreifern damit Tür und Tor in das Unternehmen geöffnet.

Betroffene Systeme

  • Barracuda Spam and Virus Firewall
  • Barracuda Web Filter
  • Barracuda Message Archiver
  • Barracuda Web Application Firewall
  • Barracuda Link Balancer
  • Barracuda Load Balancer
  • Barracuda SSL VPN (alle inklusive der virtual "Vx" Version)
  • Verwundbare Versionen: jeweils alle bis Security Definition 2.0.5
Nicht betroffen sind: Barracuda Backup Server, Barracuda Firewall und die Barracuda NG Firewall.

Das Problem ist ab Version Security Definition 2.0.5 laut Hersteller behoben.

Abhilfe

Barracuda Networks stellt ein Update zur Verfügung. Details siehe: Barracuda Networks tech alerts

CERT.at empfiehlt dringend, die betroffenen Systeme hinter eine Firewall zu stellen und Zugang zum Port 22 (SSH) nur für ausgewählte IP Adressen zu erlauben.

Credits

S. Viehböck, SEC Consult Vulnerability Lab. Wir danken Johannes Greil für die gute Zusammenarbeit.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. Dies gilt genauso für Appliances wie für PCs oder Server.

Informationsquelle(n):

SEC Consult Vulnerability Lab SSL VPN Schwachstelle
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-1_Barracuda_SSL_VPN_Authentication_Bypass_wo_poc_v10.txt
SEC Consult Vulnerability Lab SSH backdoor
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
"Zero-Day" Sicherheitslücke in Apple Quicktime
24. Juli 2014 Beschreibung Die ...
Sicherheitsprobleme mit OpenSSL
5. Juni 2014 | Das ...
mehr ...
Massives Datenleck
6. August 2014 | Diverse ...
Zusatzinformationen zum Interview im Standard
16. Juli 2014 | Wir freuen ...
mehr ...
Jahresbericht 2013
Ein Resumee zur digitalen Sicherheitslage in Österreich.
Letzte Änderung: 2013/7/17 - 17:00:09
Haftungsausschluss