Backdoor in Barracuda hardware ontdekt
Een Oostenrijkse onderzoeker heeft in de beveiligingsapparaten van netwerkleverancier Barracuda Networks een ernstige SSH backdoor ontdekt, waardoor kwaadwillenden toegang tot de apparatuur kunnen krijgen. Het probleem is aanwezig in de Barracuda Spam and Virus Firewall, Web Filter, Web Application Firewall, Link Balancer, Load Balancer, SSL VPN en Message Archiver.
Volgens Stefan Viehböck van SEC Consult Vulnerability Lab, die het probleem op 29 november 2012 bij Barracuda Networks rapporteerde, bevinden zich op de apparaten verschillende ongedocumenteerde gebruikersaccounts. Deze accounts zouden niet zijn uit te schakelen. Het is mogelijk om via SSH toegang tot deze accounts te krijgen.
Op de apparaten draait een SSH deamon, maar die staat alleen verbindingen vanaf bepaalde gewhiteliste IP-ranges toe. Het gaat dan om zowel servers van Barracuda Networks, als servers van andere partijen die via SSH toegang tot de apparaten kunnen krijgen.
Viehböck stelt dat de functionaliteit volledig ongedocumenteerd is, en alleen via een verborgen 'expert options' dialoogvenster is uit te schakelen.
Update
Barracuda Networks bevestigt dat een aanvaller met 'specifieke kennis' van de Barracuda apparaten op afstand en vanaf een beperkte verzameling IP-adressen met een 'non-priveleged account' kan inloggen.
Volgens de netwerkleverancier worden de kwetsbaarheden veroorzaakt door de standaard firewall configuratie en standaard gebruikersaccounts op de apparaten. Het probleem is in bijna alle Barracuda apparaten aanwezig. Klanten krijgen dan ook het advies om direct naar Security Definitions v2.0.5 te updaten.
VPN
Viehböck ontdekte ook nog een beveiligingsprobleem met de Barracuda SSL VPN. Ongeauthenticeerde gebruikers kunnen de Java systeemeigenschappen wijzigen, en zo beveiligingsmaatregelen omzeilen. Vervolgens is het via dit lek mogelijk om configuratiebestanden en database dumps te downloaden.
Ook is het mogelijk om zonder enige authenticatie het apparaat uit te schakelen en nieuwe adminwachtwoorden toe te voegen. Wederom adviseert Barracuda om Security Definitions v2.0.5 te installeren.
mvg
Fraidon
SEC Consult, an Austrian security research firm, published a report on Barracuda exposing some vulnerabilities associated with our backend support mechanisms. In collaboration with them, we took a number of measures to mitigate those vulnerabilities for our existing customers. We pushed a security definition to all running boxes in the field yesterday and published a Tech Alert in response that mitigated the major attack vectors if someone had specific knowledge of our systems and could access specific IP ranges. We are not aware of any actual examples of our customer support tools being used for malicious purposes.
The Tech Alert is available at https://www.barracudanetworks.com/support/techalerts for reference.
We have developed a number of backend systems designed to provide customers with the best customer support, and we had a number of processes in place around their usage. It is important to note:
1 – Our network firewalls (Barracuda NG Firewall, Barracuda Firewall) and Barracuda Backup were not impacted by this. The full list of affected products is on the Tech Alert.
2 – Customers who had the affected appliances behind a network firewall (as we have always recommended to our customers) - whether that be a Barracuda network firewall or another vendor's – were not impacted by this.
We thank SEC Consult for working with us on this issue, and take pride in our ability to respond quickly and efficiently to these types of reports.
- Log in op de webinterface van je Barracuda.
- Ga naar het tabblad 'Expert'
- Tik in de adresbalk van je browser direct achter de url "&expert=1" en druk op Enter (zonder quote's)
- Klik nu op de nieuw verschenen rode knop "Expert Settings"
- Onderaan deze pagina kun je Ondersteuning op afstand uitzetten.
- Vergeet niet de wijzigingen op te slaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
