Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 37, views: 14.870 •

Apparaten van Barracuda Networks, die in veel zakelijke omgevingen worden gebruikt, bevatten backdoors die bedoeld waren voor de fabrikant. Ze waren echter ook eenvoudig te misbruiken door anderen. Een patch lost het probleem gedeeltelijk op.

Het probleem zat in meerdere apparaten van Barracuda Networks, waaronder servers waarop webfilters, firewalls en vpn's draaien. Dat schrijft beveiligingsjournalist Brian Krebs. De apparaten bevatten een backdoor-ssh-account waardoor Barracuda Networks op afstand op het apparaat kon inloggen. Op een van de 'backdoor-accounts' hoefde geen wachtwoord te worden ingevuld, enkel de gebruikersnaam 'product'. Het ging om een ongedocumenteerd account; wie een Barracuda-systeem kocht, werd niet verteld dat deze een dergelijk ssh-account bevatte.

Inloggen op het account kon enkel vanuit een bepaalde ip-range, waarvan ip-adressen van Barracuda Networks deel uitmaakten. Oostenrijkse onderzoekers ontdekten echter dat Barracuda Networks niet het enige bedrijf was dat gebruikmaakte ip-adressen in deze range: honderden andere bedrijven bezetten eveneens ip-adressen in die range. Die konden dus zonder veel moeite op afstand inloggen op Barracuda-systemen. Dat account maakte het onder meer mogelijk om als root in te loggen op MySQL.

Het probleem is inmiddels opgelost: op het ssh-account 'product' kan niet meer worden ingelogd. De onderzoekers tekenen echter aan dat er nog een voorgeconfigureerde ssh-account is, waarop Barracuda kan inloggen. Dat account kan niet worden verwijderd; volgens Barracuda is het nodig voor 'klantenservice'. Een onderzoeker zet daar kanttekeningen bij: "In beveiligde omgevingen is het zeer ongewenst als servers backdoors bevatten", schrijft hij, "zelfs als deze enkel voor de fabrikant toegankelijk zijn."

Reacties (37)

Statement Barracuda Networks:

SEC Consult, an Austrian security research firm, published a report on Barracuda exposing some vulnerabilities associated with our backend support mechanisms. In collaboration with them, we took a number of measures to mitigate those vulnerabilities for our existing customers. We pushed a security definition to all running boxes in the field yesterday and published a Tech Alert in response that mitigated the major attack vectors if someone had specific knowledge of our systems and could access specific IP ranges. We are not aware of any actual examples of our customer support tools being used for malicious purposes.

The Tech Alert is available at https://www.barracudanetworks.com/support/techalerts for reference.

We have developed a number of backend systems designed to provide customers with the best customer support, and we had a number of processes in place around their usage. It is important to note:
1 – Our network firewalls (Barracuda NG Firewall, Barracuda Firewall) and Barracuda Backup were not impacted by this. The full list of affected products is on the Tech Alert.
2 – Customers who had the affected appliances behind a network firewall (as we have always recommended to our customers) - whether that be a Barracuda network firewall or another vendor's – were not impacted by this.

We thank SEC Consult for working with us on this issue, and take pride in our ability to respond quickly and efficiently to these types of reports.
Dan bouw je een backdoor in, maar wel 's werelds stomste backdoor. Geen password, geen ssl-certificaat, niks. Alleen een all-lowercase gebruikersnaam?

Als ik aandelen Barracuda had, dan zou ik ze nu dumpen. Met dit soort akties is je reputatie toch in 1x volledig aan gort. Zoiets kun je toch ook nooit geheim houden? Zelfs als onderzoekers het gat niet vinden, hoeft er maar 1 (ex)-medewerker zijn mond voorbij te praten (moedwillig of niet) en het spel is uit.

Ik kan me voorstellen dat er flink wat rechtszaken komen van boze klanten. Geld terug, nieuwe apparatuur aanschaffen en alle kosten verhalen op Barracuda?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013