Kritischer Fehler in Checkpoint Firewall-1 [Update]
Mehrere Fehler in der weit verbreiteten Firewall-1 von Checkpoint erlauben einem Angreifer, die Kontrolle über das System zu erhalten.
Die Sicherheitsspezialisten X-Force des Herstellers Internet Security Systems ISS haben mehrere Fehler in der weit verbreiteten Firewall-1 von Checkpoint entdeckt, mit denen Angreifer die Kontrolle über das System erlangen können. Die Schwachstellen sind in der Mitte vergangenen Jahres eingeführten Application Intelligence (AI) enthalten, die eine bessere Erkennung und Abwehr von Angriffen auf Netzwerke ermöglichen soll, in dem Protokolle eingehender inspiziert werden. Des Weiteren ist der Fehler auch im HTTP-Security-Server-Proxy der Firewall vorhanden, da beide Dienste die gleiche Codebasis haben.
Das Problem basiert auf Format-String-Schwachstellen bei der Verarbeitung von HTTP-Anfragen. Durch manipulierte Requests kann ein Angreifer eine Fehlermeldung der Firewall provozieren, deren Inhalt er teilweise selbst bestimmt. Da diese Meldung ohne weitere Prüfung an die Funktion sprintf() übergeben wird, ist es möglich, eigenen Code einzuschleusen und auszuführen. X-Force hat nach eigenen Angaben einen funktionierenden Exploit entwickelt, mit der sich die Firewall über das Netzwerk kontrollieren lässt. Damit ist es beispielsweise möglich, Firewall-Regeln zu löschen oder umzukonfigurieren.
Betroffen sind alle Systeme, auf dem AI oder der HTTP-Security-Server laufen, sowohl für Unix-Plattformen, als auch für Windows-Systeme:
Checkpoint Firewall-1/VPN-1 NG-AI R55, R54,
Checkpoint Firewall-1/VPN-1 NG FP1, FP2, FP3 mit HTTP Security Server
Checkpoint Firewall-1/VPN 4.1 mit HTTP Security Server
Da Checkpoints Firewall-1 in vielen weiteren Sicherheitslösungen als OEM-Produkt enthalten ist, sind auch Sicherheits-Appliances von Nokia, ISS und anderen verwundbar. Checkpoint hat ein eigenes Advisory veröffentlicht, in dem der Hersteller das Einspielen der Patches empfiehlt.
[Update]
Internet Security System (ISS) weist darauf hin, dass sie kein OEM-Partner von Checkpoint sind. Produkte von ISS, beispielsweise die Proventia-Serie, seien also nicht von dem Fehler betroffen. Vielmehr hätte eine Proventia einen derartigen Angriff erkennen und abwehren können.
Siehe dazu auch: (dab)
- Checkpoint Firewall-1 HTTP Parsing Format String Vulnerabilities von X-Force
- Mit Intrusion-Prevention-Techniken auf Firewalls und deren Risiken beschäftigt sich der Artikel: Besser vorbeugen auf heise Security.
