1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Palo Alto Networks: VPN-Webinterface…

Mal wieder ein Sicherheitsproblem. Dieses Mal: Palo Alto Networks

  1. Thema

Neues Thema Ansicht wechseln


  1. Mal wieder ein Sicherheitsproblem. Dieses Mal: Palo Alto Networks

    Autor: Tuxianer 19.03.16 - 17:33

    Golem berichtete:
    -----------------------------

    > Shell [...] Hier fand sich eine Shell-Injection-Lücke,
    > mit der man sich den Root-Zugriff verschaffen kann.

    @Golem: Funktioniert das nur, wenn man direkt mit dem Gerät verbunden ist / dran sitzt? Oder wird auch diese Shell - und mir ihr die Lücke - übers Netz exportiert?

    > Für ein Header-Feld wurde der Rückgabewert einer
    > Escaping-Funktion nicht geprüft.

    Also ein Fehler im Konzept der Software ...

    > Bei längeren Headern schlug das Escaping fehl, dadurch
    > wurde nur ein Teilstring weitergereicht. Das ermöglichte
    > anschließend das Einfügen von Code, da der Header-Wert
    > auf der Kommandozeile übergeben wurde.

    ... mit dem man das System dann vollends aushebeln kann: Code ausführen mit Root-Rechten.


    > Diese Lücke ist jedoch laut Wilhelm vergleichsweise unkritisch,
    > denn das Management-Webinterface sollte grundsätzlich nur
    > intern zugänglich sein.

    Selbst wenn diese Lücke nur lokal ausnutzbar wäre, wäre sie ein Problem. Es wäre nicht das erste Mal, dass ein Einbrecher einen unauffälligen, da nicht speziell berechtigten Mitarbeiter einer Firma wie z. B. einen Wachdienstler bezahlt oder erpresst, damit dieser ihm einen Teil der Arbeit abnimmt.

    > "Sollte"?
    Wurde überprüft, ob es möglich ist, das Interface auf einem Gerät, mit dem man es intern anschaut, über Umwege zu exportieren? Dann kann der eigentliche Eindringling, nachdem sein Assistent ihm das Interface exportiert hat, den Rest wunderbar aus der Ferne erledigen.


    > Dafür muss das Gerät wissen, welche [Anwender] gerade welche IP
    > [nutzen].
    Eine ip als alleinseligmachendes Autentifikationsmerkmal? Echt nun? Ist ja ganz großes Kino. Es hat ja auch noch nie irgendwer mit einem Fremdgerät, das er ins physikalische Netz reinhängen konnte, mittels einer vorgetäuschten IP-Adressen irgendwas Böses getan ...


    > Palo-Alto-Geräte, die [...] das User-ID-Feature für das gesamte öffentliche Internet umzusetzen versuchten.

    Fast schon unterhaltsam, wenn es nicht um Geräte zur Absicherung von Netzwerken ginge. In einem Film würde man das als unglaubwürdig abtun.

    Zur Sache: Wenn dieses 'Feature' "User-ID-Check by IP" nur im internen Netz zum Einsatz kommt, muss da schon mehr als ein Konfigurationsproblem vorliegen, damit solche Antwort-Pakete überhaupt nach draußen gesandt werden. Immer hin könnte das Gerät ja anhand der anfragenden IP-Adresse erkennen, ob die zum hausinternen Netz gehört, ob also der betreffende Anwender angemeldet werden darf, oder ob es eine externe IP-Adresse ist, von der sich ja niemand anmelden können "sollte".

    Logische Schlussfolgerungen:
    - Man kann sich also doch als externer Mitarbeiter anmelden und mittels ip autentifizieren (kritisch),
    - Wenn ein solcher externer Nutzer auf das Konfigurationsinterface zugreifen kann (kritisch), ist auch dieses öffentlich zugänglich (sehr kritisch) und mit ihm seine Sicherheitslücken (IP als Autentifizierungsmerkmal, Root-Erlangung, nicht vorgesehene Rückgabewert-Überprüfung und somit Ausführung von Fremd-Code).

    > Alle bisher beschriebenen Angriffe betreffen nur das lokale Netz.
    Hm? Wenn ich den Bericht bis hierher gelesen habe, hört sich das aber anders an.


    > [...] Feature der Palo-Alto-Appliances ist ein VPN-Zugriff,
    > für den es ein öffentliches Webinterface gibt. Hier fand
    > Wilhelm zunächst heraus, dass die dort verwendeten Cookies
    > mit einem Passwort verschlüsselt sind, das auf den
    > Defaultwert "p1a2l3o4a5l6t7o8" gesetzt ist.

    Sowas ist nicht nur peinlich. Sowas ist Absicht; so dumm kann man doch nicht sein. Oder hat da jemand allen Ernstes geglaubt, dass solche Hangar-Tore niemandem auffallen?

    Selbst WLan-Router-Hersteller bekommen es gebacken, dass die ausgelieferten Geräte nicht alle dasselbe Passwort nutzen; es scheint also nicht unglaublich unmöglich zu sein, solche Passworte nicht identisch auf x Geräten einzurichten. Wenn eine Firma, die Sicherheitsgeräte vertreibt, solche öffentlichen Zugänge einbaut, dann muss man sich nicht fragen, mit welcher Absicht das geschieht; die ist offenkundig.

    > Palo Alto Networks will daran nichts ändern und sieht es
    > nicht als Sicherheitsproblem, da es in der Dokumentation
    > beschrieben sei.

    Ach, wenn es in irgendeinem PDF auf Seite 1276 im Absatz 17.4.5-d ganz klein erwähnt ist, ist ein grobes Sicherheitsmanko auf einmal keines mehr? Aggoranz hat einen neuen Namen!

    Wenn die Firma Automobile oder Türschlösser verkaufen würde, hieße es wohl auch: "Alle Schlüssel sind identisch. Das ist made by concept und aus diesem Grund auch keinerlei Sicherheitsproblem. Gegen Aufpreis verkaufen wir auch Schlösser mit anderen Schlüsselmustern (die dann alle, die den Aufpreis bezahlt haben, wiederum identisch erhalten)" ...


    > Doch wenn man einen String verwendet, der ausschließlich aus
    > gültigen Multibyte-UTF-8-Zeichen besteht, wird der Längencheck
    > übersprungen.
    Das bedeutet also, dass das Programm zuerst inhaltlich prüft, aus welchem Zeichenvorrat die Zeichenfolge zusammengesetzt ist, und je nach Zeichenvorrat dann entscheidet, gewisse Sicherheitsprüfungen zu unterlassen oder nicht ... so spontan fällt mir für so ein Verhalten nur eine mögliche Ursache ein: Es wurde mit Vorsatz so programmiert.

    > Die möglichen Eingabezeichen lassen sich jedoch erweitern,
    > wenn der Benutzername ein @ enthält.
    Also wird wiederum in der Zeichenfolge explizit nach diesem Zeichen gesucht und es werden dann noch mehr von den Sicherheitsprüfungen umgangen bzw. deaktiviert. Das erhärtet die Vorsatz-These.

    > Die Firma habe ein großes Interesse an den Fehlerberichten
    > gezeigt und sei offenbar bemüht, die Lücken zu schließen.

    Klar, wenn jemand denen ihre Arbeit abnimmt, ist nicht verwunderlich, dass sie das gerne zu lesen bekommen. "bemüht" ist nun leider bestenfalls eine Absichtserklärung, hat also keinerlei juristische Konsequenz. Und stellt damit für die bestehenden Anwender solcher Anlagen genau eine Botschaft bereit: Euer System ist nach wie vor made by concept and design unsicher, und ob und wenn ja wann wir daran was ändern, dazu sagen wir nichts.

    -----

    Befugnis kann man delegieren. Kompetenz muss man erlangen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Cooper Advertising GmbH, Hamburg
  2. Stadt Erlangen, Erlangen
  3. Grünbeck Wasseraufbereitung GmbH, Höchstädt a. d. Donau
  4. STADT ERLANGEN, Erlangen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Gigabyte Radeon RX 6800 Gaming OC 16G für 878,87€)
  2. (u. a. Xbox Wireless Controller Robot White für 59,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Laschet, Merz, Röttgen: Mit digitalem Bullshit-Bingo zum CDU-Vorsitz
Laschet, Merz, Röttgen
Mit digitalem Bullshit-Bingo zum CDU-Vorsitz

Die CDU wählt am Wochenende einen neuen Vorsitzenden. Merz, Laschet und Röttgens Chefstrategin Demuth haben bei Netzpolitik noch einiges aufzuholen.
Ein IMHO von Friedhelm Greis

  1. Digitale Abstimmung Armin Laschet ist neuer CDU-Vorsitzender
  2. Netzpolitik Rechte Community-Webseite Voat macht Schluss

Google vs. Oracle: Das wichtigste Urteil der IT seit Jahrzehnten
Google vs. Oracle
Das wichtigste Urteil der IT seit Jahrzehnten

Der Prozess Google gegen Oracle wird in diesem Jahr enden. Egal welche Seite gewinnt, die Entscheidung wird die IT-Landschaft langfristig prägen.
Eine Analyse von Sebastian Grüner


    Whatsapp: Überfällige Datenschutzabstimmung mit den Füßen
    Whatsapp
    Überfällige Datenschutzabstimmung mit den Füßen

    Es gibt zwar keinen wirklichen Anlass, um plötzlich von Whatsapp zu Signal oder Threema zu wechseln. Doch der Denkzettel für Facebook ist wichtig.
    Ein IMHO von Friedhelm Greis

    1. Facebook Whatsapp verschiebt Einführung der neuen Datenschutzregeln
    2. Facebook Whatsapp stellt Nutzern ein Ultimatum
    3. Watchchat Whatsapp mit der Apple Watch bedienen