Kritikus SSH backdoor számos Barracuda Networks termékben

 ( trey | 2013. január 24., csütörtök - 20:04 )

A SEC Consult Vulnerability Lab ma közzétett SA-20130124-0 biztonsági figyelmeztetőjében arra hívja fel a figyelmet, hogy számos Barracuda Networks által gyártott termékben - Barracuda Spam and Virus Firewall, Barracuda Web Filter, Barracuda Message Archiver, Barracuda Web Application Firewall, Barracuda Link Balancer, Barracuda Load Balancer, Barracuda SSL VPN - kritikus SSH backdoor található. Minden olyan termék érintett, amelyen 2.0.5-nél régebbi Security Definition fut. Terminálon és SSH-n keresztül lehetőség nyílhat a készülékekhez hozzáférni a nem dokumentált felhasználói fiókok adataival.

SSH-n keresztül csak meghatározott IP tartományokból és szerverekről érhetők el a készülékek, de helyi felhasználó felvehet olyan IP címet, amely a whitelist-elt tartományokba esik és így képes lehet a készülékhez hozzáférni. Az készülékeken található /etc/sysconfig/iptables fájlok azt sugallják, hogy az iptables szabályok 2003 óta vannak érvényben a Barracuda Networks készülékein. Eddig a rossz hír.

A jobb hír, hogy ahol engedélyezve van az automatikus Security Definition letöltés és frissítés, annak a javítás már minden bizonnyal települt a rendszerén:

Barracuda backdoor javítva a 2.0.5 SD-ben

További részletek a full-disclosure listára küldött bejelentésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ezen is Linux fut! :D

http://hup.hu/node/48232

--
trey @ gépház

és ebben is backdoor van :))

a linuxban van backdoor?

Miért ne lehetne? A forrás nyílt, a disztribútor meg azt írhat a pam/shadow/openssh/akármi forrásába amit akar/tud. Aztán lefrdítja, kiadja... Magát a lefordítható forráskódot úgy sem teszik rá a dvd-re, csak azt, hogy honnan tölthető le az eredeti, meg milyen paraméterekkel fordítható.
-fs-

Te miről beszélsz? Alapértelmezett felhasználónevek és jelszavak segítségével lehetett belépni, nincs szó másról.
---
;-(

Aki elolvassa a figyelmeztetőt, annak nyilvánvaló, hogy nem "a linux"-ban van a backdoor. A Barracuda Networks cég Barracuda termékeken futó saját disztribúciójában vannak nem dokumentált, rosszul beállított account-ok. Ezeket a cég egyrészt támogatási céllal hozta létre.

Szóval, ha a "linux" itt kernelt jelent, akkor nem, ez a bejelentő nem arról szól, hogy a Linux kernelben van backdoor. Ha "a linux" a Barracuda saját disztróját jelenti, akkor pedig a megfogalmazás nem jó. Nem "a linux", hanem "egy linux", mégpedig a Barracuda Networks saját Linux disztrója.

Idézet:
Steve Pao, VP for Product Management at Barracuda Networks, told El Reg that the undocumented superuser accounts were established for support purposes but admitted the setup was flawed and promised to pay SEC Consulting an unspecified bounty for finding the vulnerability.

- forrás

--
trey @ gépház

Egy kicsit még tovább pontosítanék, nem is "egy linux" hanem egy linux kernellel futó disztribúció. Maga a linux ebben az esetben semmiben nem hibás, csak az SSH implementáció, ami windowsra is megvan, tehát Hunger akár azt is írhatta volna, hogy még egy biztonsági rés a windowson.

"Kritikus SSH backdoor számos Barracuda Networks termékben"

"ebben is backdoor van"

"ebben" == "Barracuda Networks termékben"

Ha az alapvető szövegértelmezés sem megy nektek, akkor ne másban keressétek a hibát.

"ebben is" --> utalás arra, hogy másban is
"ebben is linux van" --> Ez a szövegkörnyezet.

Ha az alapvető fogalmazás nem megy, ne másban keresd a hibát. Helyesen:

"ebben backdoor van"

Csak persze akkor nem hoztad volna a szokott mókás színvonalat. ;-)

---
;-(

Az SSH implementacio is jo volt. A szuresek voltak hibasak, sot ha csak a tartomanyokat javitottak, akkor meg most sem tul jo megoldas, mert egy MITM attack meg most is sikeres lenne.

Akkor minden product, amit alapértelmezett usernév-jelszó párossal szállítanak, backdooros?
---
;-(

eleg csunya hiba

engedélyezve van az automatikus Security Definition letöltés és frissítés, annak a javítás már minden bizonnyal települt a rendszerén:

wishful thinking...

Mondjuk, hogy miert kell a supporthoz ssh-val bejonni (ez valami NSA kompatibilitas miatt van igy?)... Vannak olyan termekek, amelyek eseten, ha a support-nak kell valami, akkor csinal neked az appliance egy zip/tar/whatever file-t, amit te elkuldhetsz a vendor-nak, esetleg ezt automatikusan megteszi a doboz, ha ugy erzi, baja van. De hogy a vendor es baratai akkor jarnak ki-be, amikor csak akarnak, ez khmm.... you are 0wned :-)

Kivancsi vagyok, ez szerepel-e az update-elt manualokban, feherpapirokban...

Place the appliances behind a firewall and block any incoming traffic (local and Internet) to port 22.

option #2: szerkeszd a /etc/hosts.(allow|deny) file-okat....

Diktatorok kezikonyve

" De hogy a vendor es baratai akkor jarnak ki-be, amikor csak akarnak, ez "

Az SSH portja ezeknek az eszközöknek ritka esetben van nyitva a nagyvilág felé. Mondjuk úgy, hogy normális esetben soha. Helyi hálózat felől problémás inkább a dolog.

"option #2: szerkeszd a /etc/hosts.(allow|deny) file-okat...."

Hivatalosan nincs parancssori hozzáférésed. A Spam Firewall-ról beszélek.

--
trey @ gépház

Illetve ha nem nyitod meg a support tunnelt, ugyanúgy nem tud bejönni, hiába van nyitva a port a tűzfalon.