[Warning] CERT.at Warning: Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)

L. Aaron Kaplan kaplan at cert.at
Thu Jan 24 12:59:28 CET 2013


   24. Jänner 2013

   CERT.at ersucht um Beachtung der folgenden Meldung.
   Wie [1]SEC Consult Vulnerability Lab meldet, gibt es in fast allen
   [2]Barracuda Networks Produkten mehrere kritische Schwachstellen.

   CERT.at bittet Benutzer dieser Produkte um Beachtung dieser Meldung.
   Wir empfehlen, Patches von Barracuda Networks zeitnah einzuspielen
   (Security Definition Version 2.0.5.) und diese Security Appliances
   durch eine extra Firewall abzusichern.

Beschreibung

Backdoor Accounts und SSH Backdoor

   Auf den betroffenen Systemen (siehe unten) gibt es mehrere
   undokumentierte Benutzeraccounts mit schwachen Passwörtern, die Zugang
   zum System verschaffen können. Diese Accounts können ohne weitere
   Tricks nicht deaktiviert werden.
   Weiters gibt es auf den betroffenen Systemen zu unscharfe Firewall
   Regeln, die es einem größeren Netzwerkbereich erlauben, oben genannte
   Backdoor Accounts zu verwenden ("Remote Wartung"). Diese
   Netzwerkbereiche sind: 216.129.105.0/24 und 205.158.110.0/24. Dort
   befinden sich einerseits Remote Wartungs Server von Barracuda Networks
   aber auch andere Firmen, die nicht mit Barracuda Networks in Verbindung
   stehen. Diese Kombination erlaubt es unberechtigten Benutzern aus
   diesen Bereichen, all diese Appliances zu kontrollieren.

   Für Details zu den unsicheren Passwörtern möchten wir den Leser auf den
   [3]Bericht von SEC Consult Vulnerability Lab verweisen. SEC Consult
   Vulnerability Lab geht davon aus, dass diese Lücke schon seit langem
   existiert hat.

Barracuda Networks SSL VPN Authentication Bypass

   Weiters [4]berichtet SEC Consult Vulnerability Lab, dass es eine
   Server-seitige "authentication bypass" Schwachstelle gibt. Dabei kann
   ein Angreifer ohne Anmeldung System-Parameter ändern und sich somit
   weitern Zugang zum System verschaffen. Diese Schwachstelle betrifft
   jedoch nur Barracuda SSL VPN.

Auswirkungen

   Ein Angreifer kann die betroffenen Barracuda Network Produkte beliebig
   kontrollieren. Da diese oft an kritischen Stellen im Unternehmen
   installiert sind (z.B. SSL VPN Zugang), ist Angreifern damit Tür und
   Tor in das Unternehmen geöffnet.

Betroffene Systeme

     * Barracuda Spam and Virus Firewall
     * Barracuda Web Filter
     * Barracuda Message Archiver
     * Barracuda Web Application Firewall
     * Barracuda Link Balancer
     * Barracuda Load Balancer
     * Barracuda SSL VPN (alle inklusive der virtual "Vx" Version)
     * Verwundbare Versionen: jeweils alle bis Security Definition 2.0.5

   Nicht betroffen sind: Barracuda Backup Server, Barracuda Firewall und
   die Barracuda NG Firewall.

   Das Problem ist ab Version Security Definition 2.0.5 laut Hersteller
   behoben.

Abhilfe

   Barracuda Networks stellt ein Update zur Verfügung. Details siehe:
   [5]Barracuda Networks tech alerts

   CERT.at empfiehlt dringend, die betroffenen Systeme hinter eine
   Firewall zu stellen und Zugang zum Port 22 (SSH) nur für ausgewählte IP
   Adressen zu erlauben.

Credits

   S. Viehböck, [6]SEC Consult Vulnerability Lab. Wir danken Johannes
   Greil für die gute Zusammenarbeit.

Hinweise

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten. Dies gilt genauso für
   Appliances wie für PCs oder Server.
     __________________________________________________________________

 
References

   1. https://www.sec-consult.com/
   2. http://www.barracudanetworks.com/
   3. https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt
   4. https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-1_Barracuda_SSL_VPN_Authentication_Bypass_wo_poc_v10.txt
   5. https://www.barracudanetworks.com/support/techalerts
   6. https://www.sec-consult.com/
   7. https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-1_Barracuda_SSL_VPN_Authentication_Bypass_wo_poc_v10.txt
   8. https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt


---
//  CERT Austria
//  L. Aaron Kaplan <kaplan at cert.at>
//  T: +43 1 505 64 16 78
//  http://www.cert.at
//  Eine Initiative der NIC.at GmbH
//  http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg






-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 203 bytes
Desc: Message signed with OpenPGP using GPGMail
URL: <http://lists.cert.at/pipermail/warning/attachments/20130124/44e05e31/attachment.sig>


More information about the Warning mailing list