[Warning] CERT.at Warning: Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)
L. Aaron Kaplan
kaplan at cert.at
Thu Jan 24 12:59:28 CET 2013
24. Jänner 2013
CERT.at ersucht um Beachtung der folgenden Meldung.
Wie [1]SEC Consult Vulnerability Lab meldet, gibt es in fast allen
[2]Barracuda Networks Produkten mehrere kritische Schwachstellen.
CERT.at bittet Benutzer dieser Produkte um Beachtung dieser Meldung.
Wir empfehlen, Patches von Barracuda Networks zeitnah einzuspielen
(Security Definition Version 2.0.5.) und diese Security Appliances
durch eine extra Firewall abzusichern.
Beschreibung
Backdoor Accounts und SSH Backdoor
Auf den betroffenen Systemen (siehe unten) gibt es mehrere
undokumentierte Benutzeraccounts mit schwachen Passwörtern, die Zugang
zum System verschaffen können. Diese Accounts können ohne weitere
Tricks nicht deaktiviert werden.
Weiters gibt es auf den betroffenen Systemen zu unscharfe Firewall
Regeln, die es einem größeren Netzwerkbereich erlauben, oben genannte
Backdoor Accounts zu verwenden ("Remote Wartung"). Diese
Netzwerkbereiche sind: 216.129.105.0/24 und 205.158.110.0/24. Dort
befinden sich einerseits Remote Wartungs Server von Barracuda Networks
aber auch andere Firmen, die nicht mit Barracuda Networks in Verbindung
stehen. Diese Kombination erlaubt es unberechtigten Benutzern aus
diesen Bereichen, all diese Appliances zu kontrollieren.
Für Details zu den unsicheren Passwörtern möchten wir den Leser auf den
[3]Bericht von SEC Consult Vulnerability Lab verweisen. SEC Consult
Vulnerability Lab geht davon aus, dass diese Lücke schon seit langem
existiert hat.
Barracuda Networks SSL VPN Authentication Bypass
Weiters [4]berichtet SEC Consult Vulnerability Lab, dass es eine
Server-seitige "authentication bypass" Schwachstelle gibt. Dabei kann
ein Angreifer ohne Anmeldung System-Parameter ändern und sich somit
weitern Zugang zum System verschaffen. Diese Schwachstelle betrifft
jedoch nur Barracuda SSL VPN.
Auswirkungen
Ein Angreifer kann die betroffenen Barracuda Network Produkte beliebig
kontrollieren. Da diese oft an kritischen Stellen im Unternehmen
installiert sind (z.B. SSL VPN Zugang), ist Angreifern damit Tür und
Tor in das Unternehmen geöffnet.
Betroffene Systeme
* Barracuda Spam and Virus Firewall
* Barracuda Web Filter
* Barracuda Message Archiver
* Barracuda Web Application Firewall
* Barracuda Link Balancer
* Barracuda Load Balancer
* Barracuda SSL VPN (alle inklusive der virtual "Vx" Version)
* Verwundbare Versionen: jeweils alle bis Security Definition 2.0.5
Nicht betroffen sind: Barracuda Backup Server, Barracuda Firewall und
die Barracuda NG Firewall.
Das Problem ist ab Version Security Definition 2.0.5 laut Hersteller
behoben.
Abhilfe
Barracuda Networks stellt ein Update zur Verfügung. Details siehe:
[5]Barracuda Networks tech alerts
CERT.at empfiehlt dringend, die betroffenen Systeme hinter eine
Firewall zu stellen und Zugang zum Port 22 (SSH) nur für ausgewählte IP
Adressen zu erlauben.
Credits
S. Viehböck, [6]SEC Consult Vulnerability Lab. Wir danken Johannes
Greil für die gute Zusammenarbeit.
Hinweise
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten. Dies gilt genauso für
Appliances wie für PCs oder Server.
__________________________________________________________________
References
1. https://www.sec-consult.com/
2. http://www.barracudanetworks.com/
3. https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt
4. https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-1_Barracuda_SSL_VPN_Authentication_Bypass_wo_poc_v10.txt
5. https://www.barracudanetworks.com/support/techalerts
6. https://www.sec-consult.com/
7. https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-1_Barracuda_SSL_VPN_Authentication_Bypass_wo_poc_v10.txt
8. https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt
---
// CERT Austria
// L. Aaron Kaplan <kaplan at cert.at>
// T: +43 1 505 64 16 78
// http://www.cert.at
// Eine Initiative der NIC.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 203 bytes
Desc: Message signed with OpenPGP using GPGMail
URL: <http://lists.cert.at/pipermail/warning/attachments/20130124/44e05e31/attachment.sig>
More information about the Warning
mailing list