'Veel netwerkapparatuur kwetsbaar door maanden oud lek'

Beveiligingsonderzoeker HD Moore ontdekte dat op internet nog honderden apparaten van F5 Networks te vinden zijn die kwetsbaar zijn door een al enige maanden bekende bug. Ze bevatten allemaal dezelfde privésleutel.

Daardoor kan iedereen die de sleutel kent, inloggen op een kwetsbaar apparaat. De sleutel kan bovendien worden gevonden in de firmware. Het gaat om producten uit de BigIP-reeks van F5 Networks, waar onder meer load balancers en beveiligingsapparatuur onder valt. In juli kreeg het bedrijf nog een Pwnie Award voor de beveiligingsfout.

Uit onderzoek van HD Moore, de grote man achter de Metasploit-hackerstoolkit, blijkt dat honderden F5-apparaten nog kwetsbaar zijn voor de hack. Dat meldt hij op zijn Twitter-account. Moore onderzocht 13.500 apparaten die rechtstreeks aan het internet gekoppeld waren, waarvan grofweg de helft de ssh-poort open had staan. Dat is al een beveiligingsrisico op zich, omdat ze kwetsbaar zijn voor brute force-aanvallen.

Van de ongeveer 6750 apparaten waren er echter circa 750 extra kwetsbaar: zij beschikten nog over de uitgelekte sleutel. Moore publiceerde eerder al een methode om onderzoek te doen naar kwetsbare F5-apparatuur. Hij vindt het een ernstige zaak, omdat veel F5-apparatuur op belangrijke plekken staat.

IT-banen

Reacties (26)

Keypunchie

Netwerk
Beveiliging

14 september 2012 13:54

Zoals anderen al opmerken: dit is waarom je defense-in-depth hebt. Niet alleen vertrouwen op de authenticatie op het systeem, maar ook een goede firewall en een speciaal beheernetwerk/VPN om dit af te dekken. En natuurlijk ook goede 'auditing': controleren wie/wanneer/wat gedaan heeft. Als plots allemaal Chinese IP-adressen toegang hebben gehad tot een resource en je hebt geen medewerkers/kantoren in China, dan moet er een belletje afgaan.

Een hacker kan vaak door een fout van jouw kant door 1 beveiligingslaag heenbreken, maar hoe meer lagen je aanbrengt (wel voor de legitieme gebruiker transparant houden, natuurlijk), hoe minder makkelijk je het voor de casual hacker maakt.

Het is een beetje als met een fiets op slot zetten: Als jij 3 sloten hebt, loopt een dief wel door naar een makkelijker te stelen fiets.

Trunksmd 14 september 2012 12:28

Hoe wil je anders enigzins veilig je huisserver benaderen zonder ssh?. VPN?

Natuurlijk, telnet is niet meer van deze tijd. Daar zit geen beveiliging in. Maar SSH?

[Reactie gewijzigd door Trunksmd op 23 juli 2024 15:17]

Sebazzz

@Trunksmd • 14 september 2012 12:30

SSH-poort is 22 als ik mij niet vergis. Je kan SSH ook gewoon op poort 50000 draaien. Je moet gewoon een andere poort kiezen.

[Reactie gewijzigd door Sebazzz op 23 juli 2024 15:17]

markoverklift @Sebazzz • 14 september 2012 12:37

Dat zal iets vertraging in de detectie geven, maar als ze al je poorten scannen komen ze er toch wel achter. Het is dus nog steeds geen waterdichte manier om te beveiligen. eerder een snelheids heuveltje...

Soldaatje @Sebazzz • 14 september 2012 12:33

Ja dat kan, maar dat is eigenlijk security through obscurity.
Tenzij je firewall goed is tegen poortscanners.

Sfynx @Sebazzz • 14 september 2012 12:46

Gewoon op 22 draaien met fatsoenlijke instellingen. Alleen public key authenticatie, eventueel alleen toestaan vanaf bepaalde IP-adressen en/of een restrictie op het aantal verbindingen per minuut op een IP (dat doe ik zelf voornamelijk om vervelende bots niet mijn logfiles te laten volspammen met authentication failed meldingen

)

Ik ben wat dat betreft wel een purist: je draait een service op de daarvoor aangewezen poort of je draait het niet. Ik weet nog wel toen ik een eigen server had staan op de universiteit dat ie zonder pardon van de switch werd gesmeten zodra de netwerkbeheerders merkten dat er een service op een andere poort draaide dan in de IANA lijst stond vermeld. Een duidelijke netwerkstructuur draagt ook bij aan veiligheid.

[Reactie gewijzigd door Sfynx op 23 juli 2024 15:17]

BoringDay @Trunksmd • 15 september 2012 11:20

waarom niet: Kerberos
http://en.wikipedia.org/wiki/Kerberos_(protocol)

Soldaatje 14 september 2012 12:10

? Ik laat ook gewoon de ssh poort open staan?
Ik heb dan wel een anti-bruteforce in mijn iptables dmv fail2ban, dat zal die hardware misschien niet hebben?

MagicTempest @Soldaatje • 14 september 2012 12:15

Er is totaal geen reden om in een corporate omgeving de SSH poort van een firewall/loadbalancer of wat dan ook richting het Internet open te zetten. Dat mensen dat met hun eigen servertjes doen snap ik, maar corporate apparatuur zou dat niet moeten hebben. Die zouden gewoon van binnenuit beheerd moeten worden.

Eventueel is er nog een mogelijkheid om een OOB management poort open te zetten naar buiten toe, maar ook dan is het niet verstandig om het Internet daarvoor te gebruiken. Beter is dan een inbelmodem of iets dergelijks.

Rob Coops

Beveiliging
Hackers

@MagicTempest • 14 september 2012 12:35

Inderdaad, het is zo simpel, alles wat niet absoluut noodzakelijk is voor de bedrijfsvoering moet simpel weg niet openstaan. Hoe meer je open zet hoe groter de kans dat iemand een weg naar binnen weet te vinden. En eenmaal binnen is het leven van een hacker een heleboel makkelijker. Immers hoeveel bedrijven zijn er verstandig genoeg om bijvoorbeeld hun machines van verschillende IP's te voorzien voor verschillende doeleinden? 1 voor de interfaces, 1 voor de admins en 1 voor de backups. En natuurlijk allemaal op strikt gescheiden vlans. Want een admin mag dan heus wel bij mijn database komen maar een front-end server heeft helemaal niets te zoeken op een admin port, etc...

Er zijn erg veel van dit soort volgens vele mensen onnodige dingen die je netwerk net dat stukje lastiger maken om te hacken en net dat beetje kan het verschil zijn tussen het wel of niet ontdekken van een hack voor dat er data gestolen wordt.
Als groot bedrijf zijnde moet je er van uitgaan dat het netwerk gehackt zal worden. Het is niet een kwestie of iemand het zal proberen maar simpel weg een feit dat men het probeert. Uiteindelijk zal het iemand lukken een aan het internet gekoppelde machine te hacken, dus het is dan zaak dat je zo veel mogelijk er voor zorgt dat ondanks dat dat gelukt is de persoon niet onbeperkt door kan gaan naar alle andere machines op alle andere porten. Mocht een persoon dat proberen dan zal de intrusion protection oplossing dat moeten herkennen en meteen deze machine uit het netwerk knikkeren en een admin waarschuwen.

Als huis tuin en keuken beheerder van simpele machines die eigenlijk niets anders doen dan een muziek collectie ontsluiten of een eigen website hosten is het helemaal niet zo erg als je een ssh port open laat staan maar met dat deze website bijvoorbeeld persoonsgegevens opslaat dan ben je verkeerd bezig (dat moet op een andere machine staan die niet aan het internet hangt) als je deze poort open laat staan omdat het simpel weg niet echt nodig is.

Conzales @Rob Coops • 14 september 2012 23:11

Gezeik om niks. Via ssh, en zeker via keys ipv ww-logins, wordt maar zelden een succesvolle aanval gedaan wanneer er geen root user is. Brute force valt al weg bij het gebruik van enkel keys om in te loggen. Veel, zoniet bijna alle, 'hacks' van de laatste tijd vinden gewoon plaats via een website/SQL-database, omdat programmeurs te lui of niet kundig zijn.

Veel succes met het dichtzetten van alle poorten in een 'corporate' omgeving. Een server met alle poorten dicht is geen server meer. Verschillende lagen inbouwen is natuurlijk altijd beter, maar geen garantie. Hoeveel 'corporate' bedrijven gebruiken enkel PPTP bijvoorbeeld? Feit blijft dat de meeste hacks via poorten plaatsvinden die gewoon open moeten staan om de dienst te leveren. De protocollen (siemens) of software (KPN) van de servers worden niet vaak genoeg geupdatet. Wanneer je via een van de protocollen of services root toegang krijgt is alle beveiliging verder overbodig. Hoeveel webservers (apache) draaien als root in een linuxomgeving door onkunde inelkaar geknutseld bijvoorbeeld? Dat heeft dus allemaal niks met de poorten te maken, maar met fatsoenlijk beheer.

BeosBeing @Rob Coops • 14 september 2012 17:09

Die ssh-poort zou geen probleem moeten zijn als alleen bevoegden er langs kunnen inloggen. En wat betreft dat ontsluiten van een media-collectie, juist dat wordt gevaarlijk.
Als jouw hele collectie via internet beschikbaar is en de beveiliging is niet adequaat genoeg dan publiceer je dus auteursrechtelijk beschermd materiaal en zonder toestemming van de rechthebbenden, dus kun je aangeklaagd worden.

Als er dus via een standaardwachtwoord toegang is te krijgen kan je dus een miljoenenboete te wachten staan. Dat is nu al zo in Amerika en met de winst van de VVD afgelopen woensdag, en dus straks mogelijk Fred Teeven aan het roer van justitie kan dat binnen enkele jaren hier ook zo zijn.

mgizmo 14 september 2012 13:36

Enterprises die op deze manier werken zijn dom bezig. Gelukkig de enterprises waar ik actief ben & geweest hebben F5 management allemaal via OOB.

Rigs 14 september 2012 12:09

laat ons hopen dat er niet al teveel serviceproviders bij zijn..

Sfynx @xares • 14 september 2012 12:43

Iedereen die SSH/telnet op zijn server/switch heeft openstaan voor iedereen verdient het om gehackt te worden.

OpenSSH open laten staan naar buiten is prima hoor, gewoon geen wachtwoord-authenticatie gebruiken. Restricten op IP-adres kan ook wel, alleen kom je dan in de problemen als je een 'road-warrior' type gebruiker bent die overal vandaan erbij moet kunnen bij calamiteiten.

Het beste is dan nog wel een extreem beveiligde VPN service (waarbij het liefst elke user ook alleen maar toegang krijgt tot een VLAN waar hij/zij iets te zoeken heeft) en verder niks open zetten naar buiten.

Bloodshot @Sfynx • 14 september 2012 21:21

Tussenvormen zijn uiteraard ook mogelijk, elk met zijn eigen niveau van veiligheid: IP-reeksen van de road-warrior ISP wel toelaten en de rest niet (Scheelt al heel wat aanvallen vanuit China, Rusland, USA, etc.).

Het is simpelweg een afweging om SSH op dergelijke apparatuur wel of niet extern bereikbaar te maken. Ik kan wel wat redenen opnoemen om dit wel of niet te doen.

Ook is het een afweging om je systeem wel of niet (snel) te patchen na de publicatie van een dergelijk groot beveiligingslek. Ik kan echter geen redenen bedenken om dit niet te doen, tenzij je de SSH-toegang heel goed hebt afgeschermd.

the-dark-force @xares • 14 september 2012 12:29

waarom dan ?
ik vind het niet meer als normaal dat je uit andermans systemen blijft (of de beheerder netjes op het lek wijst, zonder actief te misbruiken)

BoringDay @the-dark-force • 15 september 2012 11:19

Jij vind het normaal , alleen criminelen niet die plukken namelijk de boel graag leeg.

zyberteq @xares • 14 september 2012 12:33

Hoezo? een open poort is niet hetzelfde als een open deur, bij ssh heb je nog allerlei vormen van beveiliging(sloten) voordat je "binnen" bent.

Maar ben het wel eens dat je geen onnodige dingen open moet laten staan. Dat nodigt alleen maar mensen zoals jij uit

Rob @xares • 14 september 2012 12:41

Zie SSH als de deur, daar zit een slot op want als je inlogd wordt er een sleutel of wachtwoord gevraagd. Alleen de fabrikant van het slot heeft een loper en die is uitgelekt.

PleXtor @xares • 14 september 2012 12:28

Dus iedereen die zijn deur van het huis niet op slot doet, daar mag worden ingebroken?

Fairy @PleXtor • 14 september 2012 12:41

Deze deur staat wel open voor de hele wereld. Als ergens aan de andere kant van de wereld in een wettenloos land iemand inbreekt bij jou begin je niks tegen. Diegene aan de andere kant van de wereld is ook binnen een halve seconde bij jou, bijna net zo snel als je buurman.

Het risico is gewoon een stuk groter.

[Reactie gewijzigd door Fairy op 23 juli 2024 15:17]

Op dit item kan niet meer gereageerd worden.

'Veel netwerkapparatuur kwetsbaar door maanden oud lek'

Lees meer

IT-banen

Reacties (26)

Sorteer op:

Weergave: