Barracudas Anti-Spam-Server weit offen

Die Anti-Spam-Appliance von Barracuda Networks enthält ein fehlerhaftes Perl-Script, das ohne Anmeldung am System das Einschleusen von Befehlen ermöglicht. Hierüber lässt sich das Administrator-Passwort erschleichen, womit das System von Angreifern aus dem Netz übernommen werden kann.

Schuld an der Misere ist das Skript /cgi-bin/img.pl. Der übergebene Parameter f, der einen Dateinamen enthalten soll, wird nicht korrekt überprüft. Um über das Skript Dateien auszuspähen, genügt die Übergabe des gewünschten Dateinamens, beispielsweise f=../etc/passwd. Schließt der Parameter mit einer Pipe ('|'), wird die vorstehende Datei von dem Script ausgeführt -- f=../bin/ls| zeigt den Verzeichnisinhalt an. Da das Administratorpasswort im Klartext abgelegt ist, könnte ein Angreifer das System unter seine Kontrolle bringen, da die Datei vom Webserver lesbar ist. Das Advisory von SecuriWeb liefert zur Demonstration einen passenden Link mit.

Zwei weitere Skripte aus der Utility-Sektion des Spamfilter-Servers erlauben zumindest eingeschränkt das Anlegen, Überschreiben und Auslesen von beliebigen Dateien. Die Skripte /cgi-bin/dig_device.cgi und /cgi-bin/tcpdump_device.cgi erlauben den Zugriff auf die gleichnamigen, mächtigen Werkzeuge, wobei die Parameterübergabe laut Advisory wie in den "Originalen" funktionieren soll.

Dem Advisory zufolge liefert Barracuda als Fix die Firmware 3.1.18 aus, wir konnten auf der Hersteller-Website allerdings keine Updates finden. Versionen vor dieser enthalten den Fehler durch die Bank weg. Nicht betroffen sind die 3.3.er Versionen der Firmware. Ebenfalls immun ist die Spyware-Edition des Anti-Spam-Servers. Da die erste Lücke sehr gravierend ist, sollte die aktualisierte Firmware auf den Geräten unverzüglich eingespielt werden.

Siehe dazu auch: (dmk)

• Security Advisory von SecuriWeb