Kerio Personal Firewall löchrig

Der Sicherheitsdienstleister Corelabs meldet in einem Advisory zwei Sicherheitslöcher in der beliebten Kerio Personal Firewall. Die gefundenen Löcher beziehen sich auf Fehler in der Remote-Administration und der dabei notwendigen Authentifizierung. Durch einen Designfehler kann trotz der Verschlüsselung der Verbindung eine Replay-Attacke durchgeführt werden.

Wird ein gültiger Administrationszugriff mit einem Sniffer im Netzwerk aufgezeichnet, können alle in der Session vorgenommenen Einstellungen reproduziert werden, wenn die Aufzeichnung wieder an die Firewall gesendet wird. Denkbar ist der Mitschnitt eines Zugriffes, bei dem bestimmte Ports kurzzeitig geöffnet werden, um sie später ebenfalls wieder zu öffnen. Der Fehler basiert auf der fehlenden Nummerierung von Sessions, um sie voneinander unterscheiden zu können, wie Corelabs berichtet.

Darüber hinaus kann durch einen Buffer Overflow im Authentifizierung-Handshake der Firewall beliebiger Code in den Stack des Systems kopiert und ausgeführt werden. Dazu muss sich ein Angreifer nur mit dem Administrationsport verbinden und eine bestimmte Paketfolge senden. Eine erfolgreiche Authentifizierung ist für diesen Angriff nicht erforderlich, ein erster Exploit ist bereits verfügbar

Betroffen sind Version 2.1.4 und alle vorhergehenden. Empfohlen wird der Upgrade auf Version 2.1.5 oder das Abschalten der Remote-Administration. Die für Heimanwender kostenlose Firewall schützt den Desktop vor Angriffen aus dem Internet und dem lokalen Netzwerk. Ein Vergleich verschiedener Personal Firewalls findet sich in c't 22/02. (dab)