image

Backdoor in Barracuda hardware ontdekt

donderdag 24 januari 2013, 15:44 door Redactie, 3 reacties

Een Oostenrijkse onderzoeker heeft in de beveiligingsapparaten van netwerkleverancier Barracuda Networks een ernstige SSH backdoor ontdekt, waardoor kwaadwillenden toegang tot de apparatuur kunnen krijgen. Het probleem is aanwezig in de Barracuda Spam and Virus Firewall, Web Filter, Web Application Firewall, Link Balancer, Load Balancer, SSL VPN en Message Archiver.

Volgens Stefan Viehböck van SEC Consult Vulnerability Lab, die het probleem op 29 november 2012 bij Barracuda Networks rapporteerde, bevinden zich op de apparaten verschillende ongedocumenteerde gebruikersaccounts. Deze accounts zouden niet zijn uit te schakelen. Het is mogelijk om via SSH toegang tot deze accounts te krijgen.

Op de apparaten draait een SSH deamon, maar die staat alleen verbindingen vanaf bepaalde gewhiteliste IP-ranges toe. Het gaat dan om zowel servers van Barracuda Networks, als servers van andere partijen die via SSH toegang tot de apparaten kunnen krijgen.

Viehböck stelt dat de functionaliteit volledig ongedocumenteerd is, en alleen via een verborgen 'expert options' dialoogvenster is uit te schakelen.

Update
Barracuda Networks bevestigt dat een aanvaller met 'specifieke kennis' van de Barracuda apparaten op afstand en vanaf een beperkte verzameling IP-adressen met een 'non-priveleged account' kan inloggen.

Volgens de netwerkleverancier worden de kwetsbaarheden veroorzaakt door de standaard firewall configuratie en standaard gebruikersaccounts op de apparaten. Het probleem is in bijna alle Barracuda apparaten aanwezig. Klanten krijgen dan ook het advies om direct naar Security Definitions v2.0.5 te updaten.

VPN
Viehböck ontdekte ook nog een beveiligingsprobleem met de Barracuda SSL VPN. Ongeauthenticeerde gebruikers kunnen de Java systeemeigenschappen wijzigen, en zo beveiligingsmaatregelen omzeilen. Vervolgens is het via dit lek mogelijk om configuratiebestanden en database dumps te downloaden.

Ook is het mogelijk om zonder enige authenticatie het apparaat uit te schakelen en nieuwe adminwachtwoorden toe te voegen. Wederom adviseert Barracuda om Security Definitions v2.0.5 te installeren.

Reacties (3)
24-01-2013, 20:32 door Anoniem
Dit is ten zeerste heel erg. Je koopt een firewall, Je betaald de alle hoogste prijs voor en hoopt dat je je bedrijfsnetwerk daarmee goed beveiligd. Maar dit. " functionaliteit volledig ongedocumenteerd / bepaalde gewhiteliste IP-ranges/ non-priveleged account'" Wat voor soort speltje is dit?

mvg
Fraidon
24-01-2013, 23:01 door Anoniem
Statement:

SEC Consult, an Austrian security research firm, published a report on Barracuda exposing some vulnerabilities associated with our backend support mechanisms. In collaboration with them, we took a number of measures to mitigate those vulnerabilities for our existing customers. We pushed a security definition to all running boxes in the field yesterday and published a Tech Alert in response that mitigated the major attack vectors if someone had specific knowledge of our systems and could access specific IP ranges. We are not aware of any actual examples of our customer support tools being used for malicious purposes.

The Tech Alert is available at https://www.barracudanetworks.com/support/techalerts for reference.

We have developed a number of backend systems designed to provide customers with the best customer support, and we had a number of processes in place around their usage. It is important to note:
1 – Our network firewalls (Barracuda NG Firewall, Barracuda Firewall) and Barracuda Backup were not impacted by this. The full list of affected products is on the Tech Alert.
2 – Customers who had the affected appliances behind a network firewall (as we have always recommended to our customers) - whether that be a Barracuda network firewall or another vendor's – were not impacted by this.

We thank SEC Consult for working with us on this issue, and take pride in our ability to respond quickly and efficiently to these types of reports.
25-01-2013, 07:39 door Anoniem
Oplossing/workaround:

- Log in op de webinterface van je Barracuda.
- Ga naar het tabblad 'Expert'
- Tik in de adresbalk van je browser direct achter de url "&expert=1" en druk op Enter (zonder quote's)
- Klik nu op de nieuw verschenen rode knop "Expert Settings"
- Onderaan deze pagina kun je Ondersteuning op afstand uitzetten.
- Vergeet niet de wijzigingen op te slaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.