Drei Schwachstellen in Sophos/Cyberoam Firewall Technology

[English]In den Firewalls der Firma Cyberoam (gehören zur britischen Firma Sophos) haben Sicherheitsforscher drei Schwachstellen entdeckt. Durch die Schwachstellen sind Millionen Geräte und damit im Prinzip das gesamte Netzwerk sicherheitstechnisch angreifbar und damit gefährdet. Die Produkte werden in Firmennetzwerken eingesetzt und sind per Internet (teilweise mit Standard-Zugangsdaten) erreichbar.

Seit Ende Februar 2020 soll es einen Hotfix für die Firmware geben. Ich bereite hier mal Informationen auf, die mir von Sicherheitsforschern von vpnMentor zu diesem Sachverhalt zugegangen sind.

Anmerkung: Der Beitrag war ursprünglich von mir zum 29. Februar 2020 veröffentlicht worden. Ich habe diesen dann auf Bitten von vpnMentor wieder offline genommen – obwohl bereits ein Hotfix verfügbar war. Zum 14. Mai 2020 hat vpnMentor diesen Blog-Beitrag mit weiteren Details veröffentlicht.

Drei Schwachstellen in Cyberoam-Geräten

In der Firewall-Technologie des Cybersicherheitsanbieters Cyberoam wurden von verschiedenen Sicherheitsexperten und ethischen Hackern drei Schwachstellen entdeckt.

  • Über die erste Schwachstelle wurde bereits Ende 2019 berichtet. Dort gibt es einen Patch, der aber eine weitere Schwachstelle aufreißt.
  • Die zweite Schwachstelle wurde von einem Sicherheitsexperten anonym an vpnMentor gemeldet.
  • Bei der Überprüfung dieser gemeldeten Schwachstelle entdeckte das Sicherheitsteam von vpnMentor die dritte Schwachstelle, die bisher ebenfalls unbemerkt geblieben war.

Diese Schwachstellen setzen potenziell Nutzer von Millionen von Geräten der Gefahr von Angriffen aus dem Internet und dem Risiken der Übernahme der Geräte aus. Die Bugs ermöglichen es jedem Hacker per Internet auf Hundertausende, möglicherweise Millionen Sophos/Cyberoam-Geräte zuzugreifen und diese zu übernehmen. Mögliche Risiken sind:

● Diebstahl von privaten Daten
● Netzwerk-, Konto- und Geräteübernahme
● Einbetten von bösartiger Software in ein gesamtes Netzwerk und einzelne Geräte

Zu den zahlreichen Kunden von Cyberoam und Sophos gehören große Unternehmen, multinationale Firmen und große internationale Banken. Google, Microsoft und Apple sind nur einige bekannte Namen unter den 100.000 Unternehmen. Zudem gibt es rund 1 Million Einzelpersonen, die Sicherheitstools dieses Anbieters verwenden.

Wären diese Sicherheitslücken von kriminellen Hackern entdeckt worden, hätten die Auswirkungen auf die Betroffenen katastrophal sein können. Wie die Sicherheitsforscher in der mir zugegangenen Mitteilung schreiben, sind die verwundbaren Cyberoam-Geräte per Internet mit Suchmaschinen wie Shodan aufspürbar.

Wer ist Cyberoam?

Cyberoam Technologies, ist ein globaler Anbieter von Netzwerksicherheitsgeräten mit einer Präsenz in mehr als 125 Ländern. Das Unternehmen Cyberoam wurde 1999 gegründet, hat seinen Sitz in Ahmedabad, Indien, gehört aber seit 2014 zu Sophos. Das Unternehmen hat weltweit etwa 550 Mitarbeiter.

Cyberoam stellt hauptsächlich Technologielösungen für große Unternehmen und internationale Organisationen her und integriert diese in umfangreichere Netzwerke. Dazu gehören:

  • Netzwerksicherheitslösungen, wie z.B. Firewalls und UTM-Geräte
  • Zentralisierte Geräte zur Sicherheitsverwaltung
  • VPNs
  • Anti-Virus-, Spyware- und Anti-Spam-Tools
  • Web-Filterung
  • Bandbreitenmanagement

Zu den Kunden dieser Sicherheitslösungen gehören globale Unternehmen in den Bereichen Fertigung, Gesundheitswesen, Finanzen, Einzelhandel, IT etc., sowie Bildungseinrichtungen, der öffentliche Sektor und große Regierungsorganisationen.

Cyberoam Software wird normalerweise im Netzwerk verwendet, um dessen Sicherheit durch Firewalls etc. zu gewährleisten. Im Wesentlichen handelt es sich um ein Gateway, das Mitarbeitern und anderen berechtigten Parteien den Zugang ermöglicht und gleichzeitig jeden unberechtigten Zugang zum Netzwerk blockiert. Dies soll eine hochgradige Kontrolle von Netzwerken über die Cyberoam-Geräte und –Software gewährleisten. Zudem verkauft Cyberoam auch Produkte, die für die Verwendung in Privathaushalten und kleinen Büros konzipiert sind. Mit Sophos als Mutterkonzern sind die Produkte wohl auch in Deutschland präsent.

Cyberoam ist schon öfters aufgefallen

Es waren nicht die ersten Sicherheitslücken, die in den Sicherheitsprodukten von Cyberoam entdeckt wurden.

  • Juli 2012:  Zwei Sicherheitsforscher entdeckten, dass Cyberoam dasselbe SSL-Zertifikat für viele seiner Geräte verwendet. Auf diese Weise hätten Hacker auf jedes betroffene Gerät im Netzwerk von Cyberoam zugreifen und den Datenverkehr abfangen können.
  • 2018: Indische Medien berichteten, dass ein Hacker große Teile der Cyberoam Datenbanken gestohlen und im Dark Web zum Verkauf angeboten hat. Anonyme ethische Hacker schätzten, dass über 1 Million Dateien in Bezug auf Kunden, Partner und interne Vorgänge von Cyberoam online zum Kauf verfügbar waren.
  • 2019: White Hat-Hacker haben eine weitere Sicherheitslücke gefunden und darüber in Online-Medien berichtet.

Der in 2019 entdeckte und öffentlich bekannte Bug ist die Grundlage für die Schwachstellen, die vpnMentor im Januar 2020 gefunden hat. Die Hauptschwachstellen bestand in zwei separaten, aber miteinander verbundenen Sicherheitslücken und betraf die Benutzeranmeldungen am Konto auf einem Cyberoam-Gerät. Beide Schwachstellen ermöglichten Hackern Zugriff auf die Server von Cyberoam und in Folge dessen auf jedes Gerät, auf dem ihre Firewalls und Software installiert wurden.

Entdeckung der Schwachstellen

Der erste Bug wurde Ende 2019 entdeckt, öffentlich gemeldet und von Sophos und Cyberoam umgehend behoben (siehe z.B. diesen Beitrag). Kurz nach Freigabe des Patches meldete sich ein anonym bleiben wollender Sicherheitsforscherbei vpnMentor und wies auf eine durch den Patch neu aufgerissene Schwachstelle hin – die übrigens gravierender als die gepatchte Lücke war. Bei der Überprüfung der gemeldeten Sicherheitslücke stieß der Sicherheitsforscher Nadav Voloch eine weitere Sicherheitslücke in der Cyberoam-Firewall-Software (es wurden Standard-Zugangsdaten für alle Geräte verwendet).

Insgesamt sind das drei separate, aber miteinander verbundene Sicherheitslücken in der Firewall-Software von Cyberoam, die innerhalb der letzten sechs Monate entdeckt wurden. Hier die Zeitleiste:

  • Erste Schwachstelle entdeckt und behoben: Ende 2019
  • Erster anonymer Bericht zur zweiten Schwachstelle erhalten. 01/02/2020
  • Cyberoam kontaktiert: 06/02/2020, 11/02/2020
  • Antwort erhalten: 12/02/20
  • Zusammenarbeit mit Cyberoam zur Behebung der Schwachstelle

Die Entwickler des Herstellers haben sofort geantwortet, nachdem diese kontaktiert wurden. Allerdings habe ich keine Informationen gefunden, wo Cyberoam Firmware-Updates bereitstellt.

Details zu den Schwachstellen

In einer Vorabmitteilung haben mir die Sicherheitsforscher von vpnMentor folgende Details zu den entdeckten Schwachstellen offen gelegt.

Erste Schwachstelle aus 2019 (gepatcht)

Bei der ersten (im Dezember 2019 gepatchten) Schwachstelle wurde ein Fehler im FirewallOS von Cyberoam SSL VPNs gefunden. Dieser Fehler ermöglichte über die SSL VPNs den Zugriff auf jedes Cyberoam-Gerät, ohne dass der Benutzername und das Kennwort für das damit verknüpfte Konto erforderlich sind.

Außerdem wurde vollständiger ‚Root‘-Zugriff auf das Gerät ermöglicht, wodurch jeder Angreifer die vollständige Kontrolle über das Gerät erhalten kann. Das ermöglicht dann den Zugriff und die Kontrolle über das gesamte Netzwerk, in das dieses Cyberoam-Gerät integriert wurde.

Das FirewallOS von Cyberoam ist eine modifizierte und zentralisierte webbasierte Version von Linux. Alle Konfigurationen, Änderungen oder Befehle, die in einem Cyberoam-Gerät erforderlich sind, werden über das gesamte Netzwerk in einer so genannten Remote Command Execution (RCE) gesendet.

Aufgrund eines Fehlers in der Anmeldeschnittstelle des FirewallOS können Hacker ohne Benutzernamen oder Kennwort auf das Cyberoam Netzwerk zugreifen und RCEs an jeden Server in diesem Netzwerk senden. Damit stand das Netzwerk vollständig für Angreifer offen, die Schwachstelle ist also recht gravierend.

Diese Schwachstelle wurde von Cyberoam und Sophos behoben und gepatcht, die ein Tool namens „Regex-Filter“ in ihren Code installiert haben, um einen solchen Angriff zu verhindern. Allerdings war der Patch nicht umfassend genug, so dass sich die Sicherheitsmaßnahmen umgehen ließen. Und noch schlimmer: Durch den Patch wurde neue Sicherheitslücke geschaffen, die noch gravierender als der ursprüngliche Fehler war.

Die zweite Schwachstelle

Die zweite Schwachstelle wurde vpnMentor von einem Hacker anonym mitgeteilt, und ist erst nach Installation des von Cyberoam und Sophos erstellten Patches vorhanden. Sie befindet sich im Regex-Filter, der durch den Patch installiert wird, um sicherzustellen, dass keine nicht authentifizierten RCEs über ein Anmeldefenster für Benutzerkonten an ihre Server gesendet werden können.

Das Problem: Der Regex-Filters lässt sich mit einer Base64-Encodierung umgehen. Base64 ist ein Binär-zu-Text-Kodierungsschema, das binäre Daten (bestehend aus 1 und 0) in das so genannte ASCII-Zeichenkettenformat konvertiert. Es kann auch für die umgekehrte Funktion verwendet werden: die Umwandlung regulärer Befehlscodes in binäre Sequenzen aus 1 und 0.

Durch Filtern eines RCE-Befehls über Base64 und Einbetten in einen Linux Bash-Befehl kann ein Hacker die Beschränkung im Regex-Filter von Cyberoam umgehen und so beliebige Exploits, die auf die Quarantäne-E-Mail-Funktionalität der Geräte abzielen, erstellen.

Im Gegensatz zur ersten Schwachstelle benötigten sie nicht einmal den Benutzernamen und das Passwort eines Kontos, sondern können sich stattdessen auf die Anfrage zur Freigabe der E-Mail-Funktionalität der Quarantäne konzentrierten. Über getarnte RCEs konnten Angreifern einen leeren Benutzernamen auf der Anmeldeschnittstelle eingegeben und diese von dort direkt an die Server senden. Das macht die Sicherheitslücke noch kritischer als die Erste, die eigentlich geschlossen werden sollte.

Nach einem erfolgreichen Eindringen in das Netzwerk können nicht authentifizierte RCE-Protokolle und „Shell-Befehle“ über ein ganzes Netzwerk gesendet werden. Ein vollständiger Root-Zugriff auf die betroffenen Cyberoam Geräte war ebenfalls weiterhin möglich. Damit ließ sich das gesamte Netzwerk eines Opfers angreifen und kontrollieren.

Dritte Schwachstelle von Nadav Voloch entdeckt

Das letzte Problem in den Sicherheitsprotokollen von Cyberoam wurde durch die Standardkennwörter von Cyberoam für neue Konten ermöglicht. Es scheint, dass die Konten in der Software des Unternehmens mit Standardbenutzernamen und -kennwörtern versehen sind. Zum Beispiel:

  • cyberoam/cyber
  • admin/admin
  • root/admin

Diese müssen von den Benutzern selbst geändert werden. Durch die Kombination der Schwachstellen im FirewallOS von Cyberoam mit den gefundenen standard Anmeldeinformationen, können Hacker auf jeden Cyberoam Server zugreifen, der sich noch im Standard-Konfigurationsmodus befindet, und diese zum Angriff auf das gesamte Netzwerk verwenden.

In der Regel vermeidet Sicherheitssoftware dieses Problem, indem sie keine Standard-Anmeldeinformationen verwendet und den Zugriff auf ein Konto erst dann erlaubt, wenn der Benutzer sein eigenes Konto erstellt. Außerdem sollten stärkere Passwörter verlangt werden, die Zahlen, Symbole und eine Mischung aus Groß- und Kleinbuchstaben verwenden.

Zur Erinnerung: Verwenden Hacker die Suchmaschine Shodan zum Finden von Cyberoam Geräten, können sie auf jedes Konto zugreifen, das noch den standardmäßigen Benutzernamen- und Kennwortmodus verwendet, und es übernehmen. Und durch einen Brute-Force-Angriff, der auf alle Server von Cyberoam abzielt, können Hacker problemlos auf alle Server zugreifen, die sich noch im standardmäßigen Benutzernamen-/Kennwortmodus befinden. Ach ja: Das Gespann Cyberoam/Sophos macht sich anheischig, im Sicherheitsbereich Lösungen zum Schutz von Netzwerken anzubieten – mir fehlen die Worte.

Werden Geräte von Sophos/Cyberoam verwendet, stellen Sie sicher, dass keine dieser Instanzen im Netzwerk noch die von Cyberoam bereitgestellten Standard-Anmeldeinformationen verwendet. Der aktuell letzte Sicherheitshinweis von Sophos stammt vom 2. Januar 2020 und ist hier zu finden. In den mir von vpnMentor zugeschickten Informationen ist nichts von gepatchten Schwachstellen vermerkt. Bei einer Suche habe ich auch keine Sophos Sicherheitshinweise (z.B. hier) von Februar 2020 gefunden. Wenn mir noch Informationen zugehen, trage ich die nach.

Dieser Beitrag wurde unter Geräte, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert