Kerio Personal Firewall löchrig
Zwei Sicherheitslöcher erlauben unautorisierte Remote-Administration.
Der Sicherheitsdienstleister Corelabs meldet in einem Advisory zwei Sicherheitslöcher in der beliebten Kerio Personal Firewall. Die gefundenen Löcher beziehen sich auf Fehler in der Remote-Administration und der dabei notwendigen Authentifizierung. Durch einen Designfehler kann trotz der Verschlüsselung der Verbindung eine Replay-Attacke durchgeführt werden.
Wird ein gültiger Administrationszugriff mit einem Sniffer im Netzwerk aufgezeichnet, können alle in der Session vorgenommenen Einstellungen reproduziert werden, wenn die Aufzeichnung wieder an die Firewall gesendet wird. Denkbar ist der Mitschnitt eines Zugriffes, bei dem bestimmte Ports kurzzeitig geöffnet werden, um sie später ebenfalls wieder zu öffnen. Der Fehler basiert auf der fehlenden Nummerierung von Sessions, um sie voneinander unterscheiden zu können, wie Corelabs berichtet.
DarĂĽber hinaus kann durch einen Buffer Overflow im Authentifizierung-Handshake der Firewall beliebiger Code in den Stack des Systems kopiert und ausgefĂĽhrt werden. Dazu muss sich ein Angreifer nur mit dem Administrationsport verbinden und eine bestimmte Paketfolge senden. Eine erfolgreiche Authentifizierung ist fĂĽr diesen Angriff nicht erforderlich, ein erster Exploit ist bereits verfĂĽgbar
Betroffen sind Version 2.1.4 und alle vorhergehenden. Empfohlen wird der Upgrade auf Version 2.1.5 oder das Abschalten der Remote-Administration. Die fĂĽr Heimanwender kostenlose Firewall schĂĽtzt den Desktop vor Angriffen aus dem Internet und dem lokalen Netzwerk. Ein Vergleich verschiedener Personal Firewalls findet sich in c't 22/02. (dab)