Ilość tylnych furtek, zaimplementowanych w urządzeniach sieciowych, odkrytych w ostatnich miesiącach jest imponująca. Wygląda na to, że każdy szanujący się producent musiał coś kiedyś zaszyć i zapomnieć. Do listy najnowszych odkryć dołącza dzisiaj Barracuda.
Firma Barracuda Networks Inc.produkuje całą gamę różnych urządzeń sieciowych związanych z bezpieczeństwem. Filtry www, poczty czy firewalle aplikacyjne chronią sieć w niejednym przedsiębiorstwie. Jak jednak niedawno odkrył Stefan Viehböck, badacz austriackiej firmy SEC Consult Vulnerability Lab, spora część urządzeń Barracudy ma w sobie zaszytą niespodziankę.
Okazuje się, że urządzenia Barracudy mają wbudowane całkiem sporo nieudokumentowanych kont, umożliwiających zdalne zalogowanie się do urządzenia. Na szczęście hasła tajnych kont zapisane są w postaci hashy i nie wszystkie udało się o tej pory złamać. Choć próbom oparło się konto root, to już hasło konta product zostało poznane. Konto to umożliwia uzyskanie dostępu do powłoki bash. Po zalogowaniu, użytkownik ma dostęp do lokalnej bazy MySQL, która działa na koncie roota bez hasła.Z tego poziomu może już dodać użytkownika interfejsu konfiguracji urządzenia. Ponadto na urządzeniu Barracuda VPN SSL potwierdzono, że możliwe jest włączenie funkcji diagnostycznych, umożliwiających uzyskanie dostępu do pełnego konta roota.
Na szczęście, choć demon ssh nasłuchuje ruchu, to w urządzeniu skonfigurowano reguły iptables, które miały za zadanie dopuszczenie jedynie ruchu lokalnego oraz ruchu zdalnego z adresów IP, znajdujących się w posiadaniu firmy Barracuda. Przy okazji jednak do puli adresowej, dopuszczonej do otwierania sesji ssh, dopisano zbyt szeroki zakres adresacji IP, przez co objęte są nim również przypadkowe firmy, znajdujące się z tej samej klasie adresowej co Barracuda (205.158.110.0/24 oraz 216.129.105.0/24).
Sygnatura czasu w pliku konfiguracyjnym iptables sugeruje, że backdoor znajduje się w oprogramowaniu od roku 2003. Podatne są prawie wszystkie urządzenia Barracudy we wszystkich wersjach starszych niż 2.0.5:
- Barracuda Spam and Virus Firewall
- Barracuda Web Filter
- Barracuda Message Archiver
- Barracuda Web Application Firewall
- Barracuda Link Balancer
- Barracuda Load Balancer
- Barracuda SSL VPN
Co ciekawe, istnieją przesłanki sugerujące, że Barracuda jeszcze w roku 2011 używała wbudowanych kont do zdalnego wyłączania urządzeń klientów, którzy korzystali ze sprzętu kupionego od dostawców, którzy z kolei nie mogli dojść do porozumienia z producentem sprzętu. Interesujące jest także to, że niektóre urządzenia Barracudy umożliwiają ataki MITM na SSL, korzystając z zaufanych certyfikatów. Z uwagi na wartość takich certyfikatów, urządzenia te mogą jako pierwsze paść ofiarą zdeterminowanych włamywaczy.
Jakby tego było mało, ten sam badacz odkrył, że urządzenie Barracuda SSL VPN można oszukać, uzyskując dostęp do interfejsu API bez przechodzenia procesu uwierzytelnienia. Pozwala to nie tylko na pobranie bazy danych urządzenia, ale także na modyfikację haseł kont administracyjnych. Tutaj również pomaga aktualizacja oprogramowania do wersji 2.0.5.
Niniejszym Barracuda dołącza do niechlubnej listy, na której znajdują się już Symantec, ASUS, GarretCom, TP-Link czy RuggedCom.
Okazuje się, że większość opisanych powyżej problemów była znana już od kilku lat, mimo tego Barracuda nie modyfikowała swojego oprogramowania.
Komentarze
Jestem ciekaw po co oni dodają takie konta i się ośmieszają, nie lepiej dać użytkownikowi możliwość stworzenia własnych passów do urządzeń?
Moja teoria (spiskowa) brzmi następująco:
Widocznie producenci sprzętu sieciowego klasy business (i nie tylko*) lubią mieć zdalną kontrolę – umożliwiającą nadzór/sterowanie/ubicie – nad wyprodukowanymi urządzeniami. Być może regularnie miewają wizyty smutnych panów, którzy potrzebują „dosięgnąć” kogoś, kto akurat korzysta ze sprzętu danej firmy. Firma chętnie idzie na współpracę, dzięki czemu później jej działalność napotka nieco mniej utrudnień…
*afera z Cisco Connect Cloud na Linksys’ach EA2700/EA3500/EA4500