Barracuda Web Filter untergräbt Sicherheit von SSL-Verbindungen
Durch eine Reihe von Schwachstellen weichte die Security-Appliance die Sicherheit verschlüsselter Verbindungen auf. Die Mängelliste reicht von unzureichenden Zertifikats-Überprüfungen bis hin zu mehrfach verwendeten CA-Zertifikaten.
- Ronald Eikenberg
Die Security-Appliance Barracuda Web Filter leistete sich beim Analysieren von SSL-Traffic gleich mehrere fatale Fehler. Sie klinkt sich auf Wunsch als Man-in-the-Middle in verschlüsselten Datenverkehr, um etwa die Übertragung von Malware zu verhindern. In diesem Modus muss sie den Datenverkehr auf dem Transportweg entschlüsselt und vor der Übertragung an das eigentliche Ziel, etwa einen Rechner im lokalen Netz, wieder neu verschlüsseln.
SSL für die Katz
Durch eine Reihe von Sicherheitsproblemen wurde dadurch allerdings die Sicherheit der verschlüsselten Verbindungen aufgeweicht. So hat die Appliance offenbar nicht ausreichend überprüft, ob das Zertifikat ihrer Verbindungspartners gültig ist. Ein Man-in-the-Middle-Angriff auf verschlüsselte Verbindungen wäre deshalb nicht aufgefallen. Der Nutzer hinter der Appliance sieht lediglich ihr Zertifikat und hat keine Möglichkeit, das eigentlich vom Server ausgelieferte Zertifikat zu überprüfen.
Update schließt Lücken
Außerdem nutzte die Appliance nur eines von drei möglichen CA-Zertifikaten. Da der dazu passende geheime Schlüssel zwangsläufig auf der Appliance gespeichert ist, hätte man ihn theoretisch extrahieren und damit die verschlüsselten Verbindungen anderer Barracuda-Kunden entschlüsseln können. Eine vollständige Übersicht über die Sicherheitsmängel liefert der Hersteller in einem Advisory. Abhilfe schaffen soll ein Update auf Version 8.1.0.005, betroffen sind alle älteren Ausgaben des Web Filter. Das Update sorgt unter anderem dafür, dass jede Appliance mit einem anderen CA-Zertifikat arbeitet. (rei)