Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 37, views: 14.852 •

Apparaten van Barracuda Networks, die in veel zakelijke omgevingen worden gebruikt, bevatten backdoors die bedoeld waren voor de fabrikant. Ze waren echter ook eenvoudig te misbruiken door anderen. Een patch lost het probleem gedeeltelijk op.

Het probleem zat in meerdere apparaten van Barracuda Networks, waaronder servers waarop webfilters, firewalls en vpn's draaien. Dat schrijft beveiligingsjournalist Brian Krebs. De apparaten bevatten een backdoor-ssh-account waardoor Barracuda Networks op afstand op het apparaat kon inloggen. Op een van de 'backdoor-accounts' hoefde geen wachtwoord te worden ingevuld, enkel de gebruikersnaam 'product'. Het ging om een ongedocumenteerd account; wie een Barracuda-systeem kocht, werd niet verteld dat deze een dergelijk ssh-account bevatte.

Inloggen op het account kon enkel vanuit een bepaalde ip-range, waarvan ip-adressen van Barracuda Networks deel uitmaakten. Oostenrijkse onderzoekers ontdekten echter dat Barracuda Networks niet het enige bedrijf was dat gebruikmaakte ip-adressen in deze range: honderden andere bedrijven bezetten eveneens ip-adressen in die range. Die konden dus zonder veel moeite op afstand inloggen op Barracuda-systemen. Dat account maakte het onder meer mogelijk om als root in te loggen op MySQL.

Het probleem is inmiddels opgelost: op het ssh-account 'product' kan niet meer worden ingelogd. De onderzoekers tekenen echter aan dat er nog een voorgeconfigureerde ssh-account is, waarop Barracuda kan inloggen. Dat account kan niet worden verwijderd; volgens Barracuda is het nodig voor 'klantenservice'. Een onderzoeker zet daar kanttekeningen bij: "In beveiligde omgevingen is het zeer ongewenst als servers backdoors bevatten", schrijft hij, "zelfs als deze enkel voor de fabrikant toegankelijk zijn."

Reacties (37)

Onbegrijpelijk dat mensen zich hier over opwinden, als je Barracuda publiek benaderbaar is via SSH ben je ook niet echt handig bezig.
Zoveel tweakers die zich meteen frustreren zonder even verder na te denken schijnbaar...
Heb je echt je Barracuda (of welk ander apparaat voor welke vendor dan ook voor dergelijke acties ) pal aan de buitenkant van je netwerk staan?
Ik mag toch hopen dat er een firewall voor staat, dan is het toch meteen geen issue meer? Tenzij een hacker al op andere wijze in je netwerk is gekomen natuurlijk, maar dan heb je dus blijkbaar meer problemen.
In het artikel staat duidelijk dat de firewall van Barracuda niet getroffen is door dit issue, dus juist dat apparaat aan de voordeur blijkt door Barracuda ook niet kwetsbaar te zijn voor deze toegang.
Dus ja, het is zeker een fout, maar het is niet zo groot als sommige mensen het hier lijken te willen doen geloven.
Zullen die competitors van Barracuda even hun hand op willen steken en kenbaar maken voor wie ze werken voordat ze met modder gooien? :O

Update
De details staan overigens hier: https://www.sec-consult.c...s_Backdoor_wo_poc_v10.txt
Het bevestigd bovenstaand verhaal ook dat het apparaat gewoon achter ene firewall hoort te staan en dat SSH blijkbaar door de klanten in de Barracuda's uit te zetten is.

[Reactie gewijzigd door [Bc]-=VorteX=- op 25 januari 2013 01:19]

Dat is het vreemde aan dit verhaal. Als er een firewall voor staat (zonder port forwarding) kun je er niet bij. En dat is het beoogde scenario. Maar als het dus niet werkt omdat er een firewall voor hoort te staan, waarom dan alsnog de account aanmaken.

Blijkbaar zijn er genoeg gevallen waarbij die firewall er niet voor staat om het voor Barracuda interessant te maken om deze toegang te hebben. En dat betekent in mijn ogen ook dat er genoeg aanleiding is om Barracuda Networks hard aan te pakken voor deze actie. Het is gewoon onvergeeflijk stom.
1) Backdoor accounts
Several undocumented operating system user accounts exist on the appliance.
En dat op security devices?! Neem me niet kwalijk maar het maakt niet uit wat je wilt beveiligen, met of zonder firewall, undocumented system user accounts zijn echt niet te verantwoorden imho :?
Heel vreemd, want ik weet dat bij een barracuda spamfilter je eerst op een knop moet drukken om een tunnel naar barracuda te openen, waarna hun support kan inloggen.
Dus waarom deze backdoor nodig is op een security device is mij een raadsel.
Ik had een hoge pet op voor hun support en producten maar dit is toch wel een grote fail.
Dat klopt. Er is een support account, maar dat moet bewust open worden gezet voordat support van Barracuda erbij kan.
undocumented backdoor in security appliance. iedereen die dit probeert goed te praten is waanzinnig.

@tony, vortex ...
Ik probere het niet goed te praten, ik zeg alleen dat je een dergelijk apparaat niet onbeschermd aan de buitenkant van je netwerk behoort te plaatsen.
Aan be buitenkant hoort alleen een firewall, niets meer, niets minder.
Of er nou Barracuda op het doosje staat, Radware, Sonicwall, Cisco of wat dan ook, het hoort niet aan de buitenkant, daarvoor hebben we DMZ's uitgevonden.

Op dit item kan niet meer gereageerd worden.



Populair: Gamecontrollers Websites en communities Smartphones Beheer en beveiliging Sony Microsoft Games Politiek en recht Consoles Besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013