Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

×

Help jij Tweakers Website van het Jaar te worden?

Tweakers is genomineerd voor beste website 2014 in de categorieën Nieuws & Informatie, Community en Vergelijking. Stem nu en maak kans op mooie prijzen!

Door , , reacties: 37, views: 14.884 •

Apparaten van Barracuda Networks, die in veel zakelijke omgevingen worden gebruikt, bevatten backdoors die bedoeld waren voor de fabrikant. Ze waren echter ook eenvoudig te misbruiken door anderen. Een patch lost het probleem gedeeltelijk op.

Het probleem zat in meerdere apparaten van Barracuda Networks, waaronder servers waarop webfilters, firewalls en vpn's draaien. Dat schrijft beveiligingsjournalist Brian Krebs. De apparaten bevatten een backdoor-ssh-account waardoor Barracuda Networks op afstand op het apparaat kon inloggen. Op een van de 'backdoor-accounts' hoefde geen wachtwoord te worden ingevuld, enkel de gebruikersnaam 'product'. Het ging om een ongedocumenteerd account; wie een Barracuda-systeem kocht, werd niet verteld dat deze een dergelijk ssh-account bevatte.

Inloggen op het account kon enkel vanuit een bepaalde ip-range, waarvan ip-adressen van Barracuda Networks deel uitmaakten. Oostenrijkse onderzoekers ontdekten echter dat Barracuda Networks niet het enige bedrijf was dat gebruikmaakte ip-adressen in deze range: honderden andere bedrijven bezetten eveneens ip-adressen in die range. Die konden dus zonder veel moeite op afstand inloggen op Barracuda-systemen. Dat account maakte het onder meer mogelijk om als root in te loggen op MySQL.

Het probleem is inmiddels opgelost: op het ssh-account 'product' kan niet meer worden ingelogd. De onderzoekers tekenen echter aan dat er nog een voorgeconfigureerde ssh-account is, waarop Barracuda kan inloggen. Dat account kan niet worden verwijderd; volgens Barracuda is het nodig voor 'klantenservice'. Een onderzoeker zet daar kanttekeningen bij: "In beveiligde omgevingen is het zeer ongewenst als servers backdoors bevatten", schrijft hij, "zelfs als deze enkel voor de fabrikant toegankelijk zijn."

Reacties (37)

Ik zou het niet meer dan logisch vinden als je de klant de keuze geeft of ze dit wel of niet willen.
Ik zou het niet meer dan logisch vinden als je de klant
duidelijk informeert over dit soort 'security' en over de standaard activatie daarvan
maar dat is dus niet gebeurd
Statement Barracuda Networks:

SEC Consult, an Austrian security research firm, published a report on Barracuda exposing some vulnerabilities associated with our backend support mechanisms. In collaboration with them, we took a number of measures to mitigate those vulnerabilities for our existing customers. We pushed a security definition to all running boxes in the field yesterday and published a Tech Alert in response that mitigated the major attack vectors if someone had specific knowledge of our systems and could access specific IP ranges. We are not aware of any actual examples of our customer support tools being used for malicious purposes.

The Tech Alert is available at https://www.barracudanetworks.com/support/techalerts for reference.

We have developed a number of backend systems designed to provide customers with the best customer support, and we had a number of processes in place around their usage. It is important to note:
1 – Our network firewalls (Barracuda NG Firewall, Barracuda Firewall) and Barracuda Backup were not impacted by this. The full list of affected products is on the Tech Alert.
2 – Customers who had the affected appliances behind a network firewall (as we have always recommended to our customers) - whether that be a Barracuda network firewall or another vendor's – were not impacted by this.

We thank SEC Consult for working with us on this issue, and take pride in our ability to respond quickly and efficiently to these types of reports.
Statement Barracuda Networks:

SEC Consult, an Austrian security research firm, published a report on Barracuda exposing some vulnerabilities associated with our backend support mechanisms. In collaboration with them, we took a number of measures to mitigate those vulnerabilities for our existing customers. We pushed a security definition to all running boxes in the field yesterday and published a Tech Alert in response that mitigated the major attack vectors if someone had specific knowledge of our systems and could access specific IP ranges. We are not aware of any actual examples of our customer support tools being used for malicious purposes.

The Tech Alert is available at https://www.barracudanetworks.com/support/techalerts for reference.

We have developed a number of backend systems designed to provide customers with the best customer support, and we had a number of processes in place around their usage. It is important to note:
1 – Our network firewalls (Barracuda NG Firewall, Barracuda Firewall) and Barracuda Backup were not impacted by this. The full list of affected products is on the Tech Alert.
2 – Customers who had the affected appliances behind a network firewall (as we have always recommended to our customers) - whether that be a Barracuda network firewall or another vendor's – were not impacted by this.

We thank SEC Consult for working with us on this issue, and take pride in our ability to respond quickly and efficiently to these types of reports.
Uiteraard moet in de firewall (al dan niet een van Barracude zelf) wel poort 22 van SSH geopend zijn en geport-forwarded zijn, dus het lijkt me dat het lek al minder lastiger uit te buiten is dan het artikel aangeeft.
Toch hoor je je klanten hier over in te lichten, dat deden ze niet en is erg kwalijk
Misschien is dat wel gewoon een onzichtbare redel die standaard aanwezig is?
De barracuda draait intern Linux met een iptables firewall. De toegelaten IP ranges waren:
192.168.200.0/255.255.255.0
192.168.10.0/255.255.255.0
205.158.110.0/255.255.255.0
216.129.105.0/255.255.255.0

Beide publieke IP ranges bevatten meerdere partijen die zonder enige authenticatie op je barracuda kunnen inloggen.

Wat ik nog schadelijker vind dan het lek, is het feit dat deze apparaten sowieso backdoors bevatten. Ze worden vaak genoeg ingezet voor corporate omgevingen, en dan is het geen prettig idee te weten dat barracuda wel eens mee kan luisteren of andere ongein kan uithalen.

Ik fact, ik weet van een situatie waar de directeuren van twee bedrijven die beide zaken doen met barracuda ruzie met elkaar hadden. Een van die directeuren was zeer goed bevriend met het hoofdkantoor, waarna op de apparatuur van de andere werd ingebroken. Hoogstwaarschijnljik via deze backdoor.
Dit is een zeer zware beschuldiging die je daar doet.
Enige bron of achtergrondinformatie lijkt me nodig om geloofwaardig te kunnen zijn.
Je beschuldigd Barracuda hier van inbraak op geleverde systemen bij klanten!
Of het waar is of niet, dat maakt niet eens uit. Het feit dat het kan is al erg genoeg. Barracuda zet met dergelijke acties zelf de backdoor open voor deze insinuaties.
Dit is voor een beveiligingsproduct gewoon onacceptabel en biedt tal van extra mogelijkheden om bij gebruikers van deze producten in te breken. Gewoon NOT DONE!
Al je email gaat door zon ding heen hoor! Het feit dat het kan is gewoon al heel slecht...
"uid0", deze "zware" beschuldiging kan gerechterlijke gevolgen hebben voor jou (indien verzonnnen) en/of andere!

Gelieve je asap kenbaar te maken bij Barracuda Networks Benelux en details te verlenen.
De Area Sales Director is Kristof Vanderstraeten

(PS: Indien verzonnen....dan moet je jezelf vragen stellen)
Ik begrijp dat het er ingebouwd is met goede bedoelingen maar hoe naďef ben je als fabrikant door te denken dat je dit geheim kunt houden anno 2013? Eigenijk vind ik dat er zelfs boetes gegeven moet worden voor dergelijke acties, je moet er toch vanuit kunnen gaan dat er niemand zonder toestemming binnenkomt. Of verkoopstops totdat er updates zijn die het probleem oplossen, dan zul je zien dat het snel opgelost worden. Voor dit soort gevallen jammer dat dit niet internationaal geregeld kan worden...
Ik zag dat Cuda (vast geen toevallige naam) had gemeld dat er al een update was uitgerold naar alle boxen om dit tegen te gaan, dus wat dat betreft hebben ze het bij Barracuda al rechtgezte en is een verkoopstop dus al niet eens meer nodig ;)
Erg vreemd dat er geen wachtwoord nodig is als je het mij vraagt. Anno 2013 moet je daar toch wel op voorbereid zijn! Ip filtering op op zich leuk als extra beveiliging, maar het mag toch nooit de beveiliging zijn waar je op leunt? In combinatie met een sterk wachtwoord zouden ze hetzelfde kunnen bereiken met een kleine extra inspanning.
Word hier zo persoonlijk boos om he!!! Jaren lang gebruik en gepromoot bij grootte ondernemingen. Het is omdat ik nu bij een bedrijf werk waar er geen barracuda’s in gebruikt zijn en eerlijk ze stonden zeker op mijn verlanglijstje, maar echt als ze er nu hadden gestaan had ik per direct het contract verbroken en ze op laten halen! Een schande is het!!!
Today, Barracuda Networks issued security definition 2.0.5 (2013-01-23) to update the product info file structure in affected firmware versions
Snap heel goed dat ze dit vanuit 'klantenservice' oogpunt open hadden staan. Je wil niet weten hoe lastig het is om klanten op weg te helpen bij problemen als je niet goed weet wat er aan de hand is en de klant het ook niet goed kan uitleggen.

Dat neemt niet weg dat daar betere oplossingen voor zijn dan zo'n always open backdoor.

Bij Windows desktops kun je tegenwoordig goed uit de voeten met TeamViewer (of vergelijkbare oplossingen) om mensen op afstand te helpen. Voor Linux/Console systemen zoals dit is daar niet zoveel voor?

[Reactie gewijzigd door JointFillah op 24 januari 2013 20:27]

dan nog, dan zou je een otp systeem kunnen inbouwen waardoor de klantenservice in kan loggen nadat de persoon onsite je een deel van de code heeft gegeven.

daar zijn mogelijkheden genoeg voor maar always open en dan ook nog eens zonder passwordt, een boete van minstens 3x de jaaromzet zou nog niet genoeg zijn naar mijn smaak... bloeden moeten ze stel ze maar ten voorbeeld.
TeamViewer is ook een secuity issue. Maar werkt inderdaad wel heel goed.

Maar dit had gewoon nooit gemogen. IP Filters of niet. Support of wie dan ook mag nooit maar dan nooit zomaar toegang krijgen tot je systemen.

Dit is een dood streek voor deze leverancier. Backdoor in een Security product kan en mag nooit gebeuren.
Wat een .... Hoe krijgen ze het voor elkaar. Het idee alleen al!

Dat is dus nooit meer Barracuda.
Dan bouw je een backdoor in, maar wel 's werelds stomste backdoor. Geen password, geen ssl-certificaat, niks. Alleen een all-lowercase gebruikersnaam?

Als ik aandelen Barracuda had, dan zou ik ze nu dumpen. Met dit soort akties is je reputatie toch in 1x volledig aan gort. Zoiets kun je toch ook nooit geheim houden? Zelfs als onderzoekers het gat niet vinden, hoeft er maar 1 (ex)-medewerker zijn mond voorbij te praten (moedwillig of niet) en het spel is uit.

Ik kan me voorstellen dat er flink wat rechtszaken komen van boze klanten. Geld terug, nieuwe apparatuur aanschaffen en alle kosten verhalen op Barracuda?
Gaat iedereen dan ook alle Cisco apperatuur mbt Spam & Webfilter buitengooien omwille van Sophos vulnerabilities waarbij management van appliances wordt overgenomen....

Het is ongelukkig dat dit media geörienteerd als 'backdoor' wordt bestempeld!
Barracuda Networks werkt met 10 tallen consultancy agencies om "echte vulnerabilites" te ontdekken en betaald hiervoor ook.... Er is reeds patch uit, voor dit bij media bekend was.

Aandelen! Barracuda is een privatly owned company in Silicon Valley en marktleider in content security - herkend door IDC!

Laten we allen niet overdrijven.....

Indien je meer en echte feedback wenst....contacteer dan gewoon Barracuda support!
Het is ongelukkig dat dit media geörienteerd als 'backdoor' wordt bestempeld!
Wat is jouw definitie van een 'backdoor' dan ?

Misschien ongelukkig geformuleerd voor Barracuda...

[Reactie gewijzigd door BeerenburgCola op 26 januari 2013 11:57]

Barracuda loopt sowieso ver achter op zn concurrenten. Een aantal jaar geleden ging het nog, wij gebruikten hun spamfirewalls, maar ze zijn inmiddels allang ingehaald door de heren van SpamExperts.
Spamexperts gebruikt barracuda zo ver ik weet. <shameless plug>Voor echte top techniek moet je bij onlinespamfilter.nl zijn... Gegarandeerd zonder backdoor btw :-)</shameless plug>
Je koopt die dingen net voor added security en met het expliciete doel om een dikke barriere te vormen tussen je intern netwerk en de boze buitenwereld.
Het feit dat net dit soort apparaten deze backdoor bevatten is gewoon hallucinant.
Ontzettend amateuristisch, klungelig en onprofessioneel.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013