Backdoor w urządzeniach Barracudy

[remool]

lość tylnych furtek, zaimplementowanych w urządzeniach sieciowych, odkrytych w ostatnich miesiącach jest imponująca. Wygląda na to, że każdy szanujący się producent musiał coś kiedyś zaszyć i zapomnieć. Do listy najnowszych odkryć dołącza dzisiaj Barracuda.

Firma Barracuda Networks Inc.produkuje całą gamę różnych urządzeń sieciowych związanych z bezpieczeństwem. Filtry www, poczty czy firewalle aplikacyjne chronią sieć w niejednym przedsiębiorstwie. Jak jednak niedawno odkrył Stefan Viehböck, badacz austriackiej firmy SEC Consult Vulnerability Lab, spora część urządzeń Barracudy ma w sobie zaszytą niespodziankę.

Okazuje się, że urządzenia Barracudy mają wbudowane całkiem sporo nieudokumentowanych kont, umożliwiających zdalne zalogowanie się do urządzenia. Na szczęście hasła tajnych kont zapisane są w postaci hashy i nie wszystkie udało się o tej pory złamać. Choć próbom oparło się konto root, to już hasło konta product zostało poznane. Konto to umożliwia uzyskanie dostępu do powłoki bash. Po zalogowaniu, użytkownik ma dostęp do lokalnej bazy MySQL, która działa na koncie roota bez hasła.Z tego poziomu może już dodać użytkownika interfejsu konfiguracji urządzenia. Ponadto na urządzeniu Barracuda VPN SSL potwierdzono, że możliwe jest włączenie funkcji diagnostycznych, umożliwiających uzyskanie dostępu do pełnego konta roota.

Na szczęście, choć demon ssh nasłuchuje ruchu, to w urządzeniu skonfigurowano reguły iptables, które miały za zadanie dopuszczenie jedynie ruchu lokalnego oraz ruchu zdalnego z adresów IP, znajdujących się w posiadaniu firmy Barracuda. Przy okazji jednak do puli adresowej, dopuszczonej do otwierania sesji ssh, dopisano zbyt szeroki zakres adresacji IP, przez co objęte są nim również przypadkowe firmy, znajdujące się z tej samej klasie adresowej co Barracuda (205.158.110.0/24 oraz 216.129.105.0/24).

Sygnatura czasu w pliku konfiguracyjnym iptables sugeruje, że backdoor znajduje się w oprogramowaniu od roku 2003. Podatne są prawie wszystkie urządzenia Barracudy we wszystkich wersjach starszych niż 2.0.5:

Barracuda Spam and Virus Firewall
Barracuda Web Filter
Barracuda Message Archiver
Barracuda Web Application Firewall
Barracuda Link Balancer
Barracuda Load Balancer
Barracuda SSL VPN

Co ciekawe, istnieją przesłanki sugerujące, że Barracuda jeszcze w roku 2011 używała wbudowanych kont do zdalnego wyłączania urządzeń klientów, którzy korzystali ze sprzętu kupionego od dostawców, którzy z kolei nie mogli dojść do porozumienia z producentem sprzętu. Interesujące jest także to, że niektóre urządzenia Barracudy umożliwiają ataki MITM na SSL, korzystając z zaufanych certyfikatów. Z uwagi na wartość takich certyfikatów, urządzenia te mogą jako pierwsze paść ofiarą zdeterminowanych włamywaczy.

Jakby tego było mało, ten sam badacz odkrył, że urządzenie Barracuda SSL VPN można oszukać, uzyskując dostęp do interfejsu API bez przechodzenia procesu uwierzytelnienia. Pozwala to nie tylko na pobranie bazy danych urządzenia, ale także na modyfikację haseł kont administracyjnych. Tutaj również pomaga aktualizacja oprogramowania do wersji 2.0.5.

Mój koment w stylu coś a`la

Widocznie producenci sprzętu sieciowego klasy business (i nie tylko*) lubią mieć zdalną kontrolę – umożliwiającą nadzór/sterowanie/ubicie – nad wyprodukowanymi urządzeniami. Być może regularnie miewają wizyty smutnych panów, którzy potrzebują „dosięgnąć” kogoś, kto akurat korzysta ze sprzętu danej firmy. Firma chętnie idzie na współpracę, dzięki czemu później jej działalność napotka nieco mniej utrudnień…

*afera z Cisco Connect Cloud na Linksys’ach EA2700/EA3500/EA4500

Warto dodać że ostatnimi czasy BD znaleziono także w urządzeniach Symantec, ASUS, GarretCom, TP-Link czy RuggedCom.
TP link jest u nas popularny wiec wymienię modele z bonusem
Potwierdzone działanie na następujących modelach: TL-WR740N, TL-WR740ND, TL-WR743ND, TL-WR842ND, WA-901ND, TL-WR941N, TL-WR941ND, TL-WR1043ND, WR2543ND, TL-MR3220, TL-MR3020, TL-WR841N
Nie działa na modelach TL-WR340G, TL-WR543G.
Dla TD-W8901G raporty są rozbieżne.
co w związku z tym ?? ...tylko otwarte oprogramowanie i mogą nam ...