Backdoors in vielen Barracuda-Appliances
Über fest eingestellte Benutzeraccount kann man auf fast alle Barracuda-Appliances via SSH aus der Ferne zugreifen – vorausgesetzt, man hat die richtige IP-Adresse.
- Ronald Eikenberg
Fast alle Appliances von Barracuda Networks wurden mit fest voreingestellten Benutzeraccounts ausgeliefert, durch die man aus der Ferne über SSH auf die Geräte zugreifen kann. Darauf macht das österreichische CERT aufmerksam.
Der Sicherheitsforscher S. Viehböck vom SEC Consult Vulnerability Lab entdeckte in der Shadow-Datei der Appliances gleich mehrere Benutzeraccounts mit Namen wie product oder websupport. Die Accounts waren mit schwachen Passwörtern geschützt, die der Forscher nach eigenen Angaben mit Hilfe einer überschaubaren Passwortliste in kurzer Zeit ermitteln konnte. Löschen kann man die Backdoor-Accounts, die anscheinend der Fernwartung durch den Hersteller dienen sollen, nicht ohne weiteres.
Außerdem entdeckte Viehböck, dass der Netzwerkfilter iptables bei den Appliances zu lasch konfiguriert ist. Normalerweise werden Zugriffe von außen blockiert. Es gibt jedoch eine Ausnahme: Zugriffe aus den Adressblöcken 216.129.105.0/24 und 205.158.110.0/24, damit der Hersteller bei Bedarf auf die Geräte zugreifen kann.
Das Problem hierbei ist, dass in diesen Adressbereichen auch andere Firmen unterwegs sind, die mit Barracuda gar nichts zu tun haben. Wem es gelingt, sich von einer entsprechenden IP-Adresse aus mit der Appliance zu verbinden, kann sich also mit Hilfe der fest eingestellten Zugangsdaten dort via SSH anmelden.
Laut Viehböck sind die folgenden Appliances betroffen:
- Barracuda Spam and Virus Firewall
- Barracuda Web Filter
- Barracuda Message Archiver
- Barracuda Web Application Firewall
- Barracuda Link Balancer
- Barracuda Load Balancer
- Barracuda SSL VPN
Sowie jeweils die virtuellen Vx-Ausgaben.
Barracuda hat mit dem Sicherheitsupdate "Security Definition 2.0.5" auf die Sicherheitsprobleme reagiert. Das Update sorgt dafür, dass sich nur noch die Accounts "root", "remote" und "cluster" via SSH mit den Appliances verbinden dürfen. Bei den beiden letzteren erfolgt der Zugriff über das Public-/Private-Key-Verfahren. An den laschen Einstellungen des Netzwerkfilters ändert das Update nichts. Wer auf Nummer sicher gehen will, kann den SSH-Daemon laut Viehböck über die Experteneinstellungen abschalten.
In der Barracuda SSL-VPN-Applicance entdeckte der Forscher weitere Lücken, durch die man unter anderem ohne Authentifizierung über die API ein neues Adminpasswort festlegen kann. Auch hierfür verspricht "Security Definition 2.0.5" Linderung. (rei)
