{"id":228899,"date":"2020-05-18T00:07:41","date_gmt":"2020-05-17T22:07:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228899"},"modified":"2024-08-23T22:33:09","modified_gmt":"2024-08-23T20:33:09","slug":"drei-schwachstellen-in-sophos-cyberoam-firewall-technology","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/18\/drei-schwachstellen-in-sophos-cyberoam-firewall-technology\/","title":{"rendered":"Drei Schwachstellen in Sophos\/Cyberoam Firewall Technology"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/02\/29\/three-vulnerabilities-in-sophos-cyberoam-firewall-technology\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]In den Firewalls der Firma Cyberoam (geh\u00f6ren zur britischen Firma Sophos) haben Sicherheitsforscher drei Schwachstellen entdeckt. Durch die Schwachstellen sind Millionen Ger\u00e4te und damit im Prinzip das gesamte Netzwerk sicherheitstechnisch angreifbar und damit gef\u00e4hrdet. Die Produkte werden in Firmennetzwerken eingesetzt und sind per Internet (teilweise mit Standard-Zugangsdaten) erreichbar.<\/p>\n<p><!--more--><\/p>\n<p>Seit Ende Februar 2020 soll es einen Hotfix f\u00fcr die Firmware geben. Ich bereite hier mal Informationen auf, die mir von Sicherheitsforschern von vpnMentor zu diesem Sachverhalt zugegangen sind.<\/p>\n<blockquote><p><strong>Anmerkung:<\/strong> Der Beitrag war urspr\u00fcnglich von mir zum 29. Februar 2020 ver\u00f6ffentlicht worden. Ich habe diesen dann auf Bitten von vpnMentor wieder offline genommen &#8211; obwohl bereits ein Hotfix verf\u00fcgbar war. Zum 14. Mai 2020 hat vpnMentor <a href=\"https:\/\/www.vpnmentor.com\/blog\/report-cyberoam-vulnerabilities\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Blog-Beitrag<\/a> mit weiteren Details ver\u00f6ffentlicht.<\/p><\/blockquote>\n<h2>Drei Schwachstellen in Cyberoam-Ger\u00e4ten<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/05977abc3c764b78b2de55ddafd0ad46\" alt=\"\" width=\"1\" height=\"1\" \/>In der Firewall-Technologie des Cybersicherheitsanbieters Cyberoam wurden von verschiedenen Sicherheitsexperten und ethischen Hackern drei Schwachstellen entdeckt.<\/p>\n<ul>\n<li>\u00dcber die erste Schwachstelle wurde bereits Ende 2019 berichtet. Dort gibt es einen Patch, der aber eine weitere Schwachstelle aufrei\u00dft.<\/li>\n<li>Die zweite Schwachstelle wurde von einem Sicherheitsexperten anonym an vpnMentor gemeldet.<\/li>\n<li>Bei der \u00dcberpr\u00fcfung dieser gemeldeten Schwachstelle entdeckte das Sicherheitsteam von vpnMentor die dritte Schwachstelle, die bisher ebenfalls unbemerkt geblieben war.<\/li>\n<\/ul>\n<p>Diese Schwachstellen setzen potenziell Nutzer von Millionen von Ger\u00e4ten der Gefahr von Angriffen aus dem Internet und dem Risiken der \u00dcbernahme der Ger\u00e4te aus. Die Bugs erm\u00f6glichen es jedem Hacker per Internet auf Hundertausende, m\u00f6glicherweise Millionen Sophos\/Cyberoam-Ger\u00e4te zuzugreifen und diese zu \u00fcbernehmen. M\u00f6gliche Risiken sind:<\/p>\n<p>\u25cf Diebstahl von privaten Daten<br \/>\n\u25cf Netzwerk-, Konto- und Ger\u00e4te\u00fcbernahme<br \/>\n\u25cf Einbetten von b\u00f6sartiger Software in ein gesamtes Netzwerk und einzelne Ger\u00e4te<\/p>\n<p>Zu den zahlreichen Kunden von Cyberoam und Sophos geh\u00f6ren gro\u00dfe Unternehmen, multinationale Firmen und gro\u00dfe internationale Banken. Google, Microsoft und Apple sind nur einige bekannte Namen unter den 100.000 Unternehmen. Zudem gibt es rund 1 Million Einzelpersonen, die Sicherheitstools dieses Anbieters verwenden.<\/p>\n<p>W\u00e4ren diese Sicherheitsl\u00fccken von kriminellen Hackern entdeckt worden, h\u00e4tten die Auswirkungen auf die Betroffenen katastrophal sein k\u00f6nnen. Wie die Sicherheitsforscher in der mir zugegangenen Mitteilung schreiben, sind die verwundbaren Cyberoam-Ger\u00e4te per Internet mit Suchmaschinen wie Shodan aufsp\u00fcrbar.<\/p>\n<h2>Wer ist Cyberoam?<\/h2>\n<p><a href=\"https:\/\/web.archive.org\/web\/20210311214455\/https:\/\/www.cyberoam.com\/\">Cyberoam<\/a> Technologies, ist ein globaler Anbieter von Netzwerksicherheitsger\u00e4ten mit einer Pr\u00e4senz in mehr als 125 L\u00e4ndern. Das Unternehmen <a href=\"https:\/\/en.wikipedia.org\/wiki\/Cyberoam\">Cyberoam<\/a> wurde 1999 gegr\u00fcndet, hat seinen Sitz in Ahmedabad, Indien, geh\u00f6rt aber seit 2014 zu Sophos. Das Unternehmen hat weltweit etwa 550 Mitarbeiter.<\/p>\n<p>Cyberoam stellt haupts\u00e4chlich Technologiel\u00f6sungen f\u00fcr gro\u00dfe Unternehmen und internationale Organisationen her und integriert diese in umfangreichere Netzwerke. Dazu geh\u00f6ren:<\/p>\n<ul>\n<li>Netzwerksicherheitsl\u00f6sungen, wie z.B. Firewalls und UTM-Ger\u00e4te<\/li>\n<li>Zentralisierte Ger\u00e4te zur Sicherheitsverwaltung<\/li>\n<li>VPNs<\/li>\n<li>Anti-Virus-, Spyware- und Anti-Spam-Tools<\/li>\n<li>Web-Filterung<\/li>\n<li>Bandbreitenmanagement<\/li>\n<\/ul>\n<p>Zu den Kunden dieser Sicherheitsl\u00f6sungen geh\u00f6ren globale Unternehmen in den Bereichen Fertigung, Gesundheitswesen, Finanzen, Einzelhandel, IT etc., sowie Bildungseinrichtungen, der \u00f6ffentliche Sektor und gro\u00dfe Regierungsorganisationen.<\/p>\n<p>Cyberoam Software wird normalerweise im Netzwerk verwendet, um dessen Sicherheit durch Firewalls etc. zu gew\u00e4hrleisten. Im Wesentlichen handelt es sich um ein Gateway, das Mitarbeitern und anderen berechtigten Parteien den Zugang erm\u00f6glicht und gleichzeitig jeden unberechtigten Zugang zum Netzwerk blockiert. Dies soll eine hochgradige Kontrolle von Netzwerken \u00fcber die Cyberoam-Ger\u00e4te und \u2013Software gew\u00e4hrleisten. Zudem verkauft Cyberoam auch Produkte, die f\u00fcr die Verwendung in Privathaushalten und kleinen B\u00fcros konzipiert sind. Mit Sophos als Mutterkonzern sind die Produkte wohl auch in Deutschland pr\u00e4sent.<\/p>\n<h2>Cyberoam ist schon \u00f6fters aufgefallen<\/h2>\n<p>Es waren nicht die ersten Sicherheitsl\u00fccken, die in den Sicherheitsprodukten von Cyberoam entdeckt wurden.<\/p>\n<ul>\n<li>Juli 2012:\u00a0 Zwei Sicherheitsforscher entdeckten, dass Cyberoam dasselbe SSL-Zertifikat f\u00fcr viele seiner Ger\u00e4te verwendet. Auf diese Weise h\u00e4tten Hacker auf jedes betroffene Ger\u00e4t im Netzwerk von Cyberoam zugreifen und den Datenverkehr abfangen k\u00f6nnen.<\/li>\n<li>2018: Indische Medien berichteten, dass ein Hacker gro\u00dfe Teile der Cyberoam Datenbanken gestohlen und im Dark Web zum Verkauf angeboten hat. Anonyme ethische Hacker sch\u00e4tzten, dass \u00fcber 1 Million Dateien in Bezug auf Kunden, Partner und interne Vorg\u00e4nge von Cyberoam online zum Kauf verf\u00fcgbar waren.<\/li>\n<li>2019: White Hat-Hacker haben eine weitere Sicherheitsl\u00fccke gefunden und dar\u00fcber in Online-Medien berichtet.<\/li>\n<\/ul>\n<p>Der in 2019 entdeckte und \u00f6ffentlich bekannte Bug ist die Grundlage f\u00fcr die Schwachstellen, die vpnMentor im Januar 2020 gefunden hat. Die Hauptschwachstellen bestand in zwei separaten, aber miteinander verbundenen Sicherheitsl\u00fccken und betraf die Benutzeranmeldungen am Konto auf einem Cyberoam-Ger\u00e4t. Beide Schwachstellen erm\u00f6glichten Hackern Zugriff auf die Server von Cyberoam und in Folge dessen auf jedes Ger\u00e4t, auf dem ihre Firewalls und Software installiert wurden.<\/p>\n<h2>Entdeckung der Schwachstellen<\/h2>\n<p>Der erste Bug wurde Ende 2019 entdeckt, \u00f6ffentlich gemeldet und von Sophos und Cyberoam umgehend behoben (siehe z.B. <a href=\"https:\/\/www.securitynewspaper.com\/2019\/10\/11\/critical-vulnerability-in-cyberoam-firewall-by-sophos-patch-now-available\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Beitrag<\/a>). Kurz nach Freigabe des Patches meldete sich ein anonym bleiben wollender Sicherheitsforscherbei vpnMentor und wies auf eine durch den Patch neu aufgerissene Schwachstelle hin \u2013 die \u00fcbrigens gravierender als die gepatchte L\u00fccke war. Bei der \u00dcberpr\u00fcfung der gemeldeten Sicherheitsl\u00fccke stie\u00df der Sicherheitsforscher Nadav Voloch eine weitere Sicherheitsl\u00fccke in der Cyberoam-Firewall-Software (es wurden Standard-Zugangsdaten f\u00fcr alle Ger\u00e4te verwendet).<\/p>\n<p>Insgesamt sind das drei separate, aber miteinander verbundene Sicherheitsl\u00fccken in der Firewall-Software von Cyberoam, die innerhalb der letzten sechs Monate entdeckt wurden. Hier die Zeitleiste:<\/p>\n<ul>\n<li>Erste Schwachstelle entdeckt und behoben: Ende 2019<\/li>\n<li>Erster anonymer Bericht zur zweiten Schwachstelle erhalten. 01\/02\/2020<\/li>\n<li>Cyberoam kontaktiert: 06\/02\/2020, 11\/02\/2020<\/li>\n<li>Antwort erhalten: 12\/02\/20<\/li>\n<li>Zusammenarbeit mit Cyberoam zur Behebung der Schwachstelle<\/li>\n<\/ul>\n<p>Die Entwickler des Herstellers haben sofort geantwortet, nachdem diese kontaktiert wurden. Allerdings habe ich keine Informationen gefunden, wo Cyberoam Firmware-Updates bereitstellt.<\/p>\n<h2>Details zu den Schwachstellen<\/h2>\n<p>In einer Vorabmitteilung haben mir die Sicherheitsforscher von vpnMentor folgende Details zu den entdeckten Schwachstellen offen gelegt.<\/p>\n<h3>Erste Schwachstelle aus 2019 (gepatcht)<\/h3>\n<p>Bei der ersten (im Dezember 2019 gepatchten) Schwachstelle wurde ein Fehler im FirewallOS von Cyberoam SSL VPNs gefunden. Dieser Fehler erm\u00f6glichte \u00fcber die SSL VPNs den Zugriff auf jedes Cyberoam-Ger\u00e4t, ohne dass der Benutzername und das Kennwort f\u00fcr das damit verkn\u00fcpfte Konto erforderlich sind.<\/p>\n<p>Au\u00dferdem wurde vollst\u00e4ndiger 'Root'-Zugriff auf das Ger\u00e4t erm\u00f6glicht, wodurch jeder Angreifer die vollst\u00e4ndige Kontrolle \u00fcber das Ger\u00e4t erhalten kann. Das erm\u00f6glicht dann den Zugriff und die Kontrolle \u00fcber das gesamte Netzwerk, in das dieses Cyberoam-Ger\u00e4t integriert wurde.<\/p>\n<p>Das FirewallOS von Cyberoam ist eine modifizierte und zentralisierte webbasierte Version von Linux. Alle Konfigurationen, \u00c4nderungen oder Befehle, die in einem Cyberoam-Ger\u00e4t erforderlich sind, werden \u00fcber das gesamte Netzwerk in einer so genannten Remote Command Execution (RCE) gesendet.<\/p>\n<p>Aufgrund eines Fehlers in der Anmeldeschnittstelle des FirewallOS k\u00f6nnen Hacker ohne Benutzernamen oder Kennwort auf das Cyberoam Netzwerk zugreifen und RCEs an jeden Server in diesem Netzwerk senden. Damit stand das Netzwerk vollst\u00e4ndig f\u00fcr Angreifer offen, die Schwachstelle ist also recht gravierend.<\/p>\n<p>Diese Schwachstelle wurde von Cyberoam und Sophos behoben und gepatcht, die ein Tool namens \"Regex-Filter\" in ihren Code installiert haben, um einen solchen Angriff zu verhindern. Allerdings war der Patch nicht umfassend genug, so dass sich die Sicherheitsma\u00dfnahmen umgehen lie\u00dfen. Und noch schlimmer: Durch den Patch wurde neue Sicherheitsl\u00fccke geschaffen, die noch gravierender als der urspr\u00fcngliche Fehler war.<\/p>\n<h3><a name=\"_kghl2n1m2kzl\"><\/a>Die zweite Schwachstelle<\/h3>\n<p>Die zweite Schwachstelle wurde vpnMentor von einem Hacker anonym mitgeteilt, und ist erst nach Installation des von Cyberoam und Sophos erstellten Patches vorhanden. Sie befindet sich im Regex-Filter, der durch den Patch installiert wird, um sicherzustellen, dass keine nicht authentifizierten RCEs \u00fcber ein Anmeldefenster f\u00fcr Benutzerkonten an ihre Server gesendet werden k\u00f6nnen.<\/p>\n<p>Das Problem: Der Regex-Filters l\u00e4sst sich mit einer Base64-Encodierung umgehen. Base64 ist ein Bin\u00e4r-zu-Text-Kodierungsschema, das bin\u00e4re Daten (bestehend aus 1 und 0) in das so genannte ASCII-Zeichenkettenformat konvertiert. Es kann auch f\u00fcr die umgekehrte Funktion verwendet werden: die Umwandlung regul\u00e4rer Befehlscodes in bin\u00e4re Sequenzen aus 1 und 0.<\/p>\n<p>Durch Filtern eines RCE-Befehls \u00fcber Base64 und Einbetten in einen Linux Bash-Befehl kann ein Hacker die Beschr\u00e4nkung im Regex-Filter von Cyberoam umgehen und so beliebige Exploits, die auf die Quarant\u00e4ne-E-Mail-Funktionalit\u00e4t der Ger\u00e4te abzielen, erstellen.<\/p>\n<p>Im Gegensatz zur ersten Schwachstelle ben\u00f6tigten sie nicht einmal den Benutzernamen und das Passwort eines Kontos, sondern k\u00f6nnen sich stattdessen auf die Anfrage zur Freigabe der E-Mail-Funktionalit\u00e4t der Quarant\u00e4ne konzentrierten. \u00dcber getarnte RCEs konnten Angreifern einen leeren Benutzernamen auf der Anmeldeschnittstelle eingegeben und diese von dort direkt an die Server senden. Das macht die Sicherheitsl\u00fccke noch kritischer als die Erste, die eigentlich geschlossen werden sollte.<\/p>\n<p>Nach einem erfolgreichen Eindringen in das Netzwerk k\u00f6nnen nicht authentifizierte RCE-Protokolle und \"Shell-Befehle\" \u00fcber ein ganzes Netzwerk gesendet werden. Ein vollst\u00e4ndiger Root-Zugriff auf die betroffenen Cyberoam Ger\u00e4te war ebenfalls weiterhin m\u00f6glich. Damit lie\u00df sich das gesamte Netzwerk eines Opfers angreifen und kontrollieren.<\/p>\n<h3><a name=\"_cliznfoyers4\"><\/a>Dritte Schwachstelle von Nadav Voloch entdeckt<\/h3>\n<p>Das letzte Problem in den Sicherheitsprotokollen von Cyberoam wurde durch die Standardkennw\u00f6rter von Cyberoam f\u00fcr neue Konten erm\u00f6glicht. Es scheint, dass die Konten in der Software des Unternehmens mit Standardbenutzernamen und -kennw\u00f6rtern versehen sind. Zum Beispiel:<\/p>\n<ul>\n<li>cyberoam\/cyber<\/li>\n<li>admin\/admin<\/li>\n<li>root\/admin<\/li>\n<\/ul>\n<p>Diese m\u00fcssen von den Benutzern selbst ge\u00e4ndert werden. Durch die Kombination der Schwachstellen im FirewallOS von Cyberoam mit den gefundenen standard Anmeldeinformationen, k\u00f6nnen Hacker auf jeden Cyberoam Server zugreifen, der sich noch im Standard-Konfigurationsmodus befindet, und diese zum Angriff auf das gesamte Netzwerk verwenden.<\/p>\n<p>In der Regel vermeidet Sicherheitssoftware dieses Problem, indem sie keine Standard-Anmeldeinformationen verwendet und den Zugriff auf ein Konto erst dann erlaubt, wenn der Benutzer sein eigenes Konto erstellt. Au\u00dferdem sollten st\u00e4rkere Passw\u00f6rter verlangt werden, die Zahlen, Symbole und eine Mischung aus Gro\u00df- und Kleinbuchstaben verwenden.<\/p>\n<p>Zur Erinnerung: Verwenden Hacker die Suchmaschine Shodan zum Finden von Cyberoam Ger\u00e4ten, k\u00f6nnen sie auf jedes Konto zugreifen, das noch den standardm\u00e4\u00dfigen Benutzernamen- und Kennwortmodus verwendet, und es \u00fcbernehmen. Und durch einen Brute-Force-Angriff, der auf alle Server von Cyberoam abzielt, k\u00f6nnen Hacker problemlos auf alle Server zugreifen, die sich noch im standardm\u00e4\u00dfigen Benutzernamen-\/Kennwortmodus befinden. Ach ja: Das Gespann Cyberoam\/Sophos macht sich anheischig, im Sicherheitsbereich L\u00f6sungen zum Schutz von Netzwerken anzubieten \u2013 mir fehlen die Worte.<\/p>\n<p>Werden Ger\u00e4te von Sophos\/Cyberoam verwendet, stellen Sie sicher, dass keine dieser Instanzen im Netzwerk noch die von Cyberoam bereitgestellten Standard-Anmeldeinformationen verwendet. Der aktuell letzte Sicherheitshinweis von Sophos stammt vom 2. Januar 2020 und ist hier zu finden. In den mir von vpnMentor zugeschickten Informationen ist nichts von gepatchten Schwachstellen vermerkt. Bei einer Suche habe ich auch keine Sophos Sicherheitshinweise (z.B. <a href=\"https:\/\/community.sophos.com\/products\/xg-firewall\/b\/blog\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>) von Februar 2020 gefunden. Wenn mir noch Informationen zugehen, trage ich die nach.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In den Firewalls der Firma Cyberoam (geh\u00f6ren zur britischen Firma Sophos) haben Sicherheitsforscher drei Schwachstellen entdeckt. Durch die Schwachstellen sind Millionen Ger\u00e4te und damit im Prinzip das gesamte Netzwerk sicherheitstechnisch angreifbar und damit gef\u00e4hrdet. Die Produkte werden in Firmennetzwerken eingesetzt &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/05\/18\/drei-schwachstellen-in-sophos-cyberoam-firewall-technology\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,7459],"tags":[2712,4328,4675],"class_list":["post-228899","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-software","tag-firewall","tag-sicherheit","tag-sophos"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228899","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=228899"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228899\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=228899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=228899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=228899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}