{"id":272887,"date":"2022-09-16T00:10:00","date_gmt":"2022-09-15T22:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272887"},"modified":"2022-09-15T23:53:01","modified_gmt":"2022-09-15T21:53:01","slug":"achtung-backdoor-in-techlogix-networx-power-delivery-unit-vom-internet-isolieren-und-patchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/16\/achtung-backdoor-in-techlogix-networx-power-delivery-unit-vom-internet-isolieren-und-patchen\/","title":{"rendered":"Achtung: Backdoor in TechLogix Networx Power Delivery-Unit, vom Internet isolieren und patchen"},"content":{"rendered":"

\"Stop[English<\/a>]In Stromversorgungskomponenten (Power Delivery-Units) des US-Herstellers TechLogix Networx gibt es eine gravierende Schwachstelle in deren Firmware. Die Firmware nimmt in \u00e4lteren Versionen (vor Version 2.0.2a) keine Authentifizierung vor, d.h. man kann \u00fcber Netzwerk die Power Delivery-Unit abschalten. Das ist t\u00f6dlich, wenn diese Einheiten zur Stromversorgung in Rechenzentren eingesetzt werden und per Internet erreichbar sind. Nach einem Leserhinweise habe ich den Hersteller und CERT-Bund diesbez\u00fcglich kontaktiert. Nach vielem hin und her gibt es nun ein funktionierendes Update. Nachfolgend lege ich die Details offen. Betreiber sollten die PDUs dringen isolieren und das Firmware-Update zeitnah installieren.<\/p>\n

<\/p>\n

Die TechLogix Networx Power Delivery-Unit<\/h2>\n

\"\"Vom US-Hersteller TechLogix Networx gibt es sogenannte Power Delivery-Units, z.B. die TL-RKPS-01<\/a>, zur Stromversorgung von Komponenten – speziell in Rechenzentren.<\/p>\n

\"TechLogix
\nTechLogix Networx Power Delivery Unit TL-RKPS-01<\/p>\n

Diese Einheit ersetzt bis zu zw\u00f6lf 5V, 12V und\/oder 24 Volt Netzteile mit einem eigenen Rack. Jeder Kanal ist laut Hersteller ausw\u00e4hlbar, so dass er f\u00fcr verschiedene Ger\u00e4tefabrikate und -modelle (Extendern \u00fcber Splitter bis hin zu Switchern) geeignet ist. Au\u00dferdem k\u00f6nnen einzelne Kan\u00e4le per Fernsteuerung von jedem beliebigen Standort aus umgeschaltet werden.<\/p>\n

\"TechLogix
\nNetworx Power Delivery Unit TL-RKPS-01 GUI, Quelle: TechLogix<\/p>\n

Die 100 ms-Startsequenzierung sorgt f\u00fcr einen reibungslosen Neustart der Stromversorgung. Diese Power Delivery Units werden daher gerne in Rechenzentren zur Stromversorgung eingesetzt.<\/p>\n

Eine Backdoor und deren z\u00e4he Beseitigung<\/h2>\n

In der Firmware dieser Power Delivery Unit existiert in \u00e4lteren Versionen eine Backdoor, die es Dritten erm\u00f6glichen w\u00fcrde, an der Unit angeschlossene Ger\u00e4te ohne weitere Authentifizierung ein- oder auszuschalten. Ich bin seit Juni 2022 hinter dem Thema her, vor einigen Tagen hat der Hersteller TechLogix Networx nun ein Update bereitgestellt, welches diese Schwachstelle beseitigt. Da am 11. September 2022 auch die 90 Tage, die ich als Frist f\u00fcr ein responsible disclosure gesetzt habe, abgelaufen sind, h\u00e4tte ich die Details auch ohne Patch jetzt offen gelegt.<\/p>\n

Ein Leser meldet eine Backdoor<\/h3>\n

Am 11. Juni 2022 meldet sich ein Blog-Leser mit einem Kommentar, dass er auf eine Backdoor in einer – in Rechenzentren – genutzten Power Delivery-Unit gesto\u00dfen sei. Der Hersteller wolle diese Backdoor nicht fixen, obwohl man die an der Unit angeschlossene Ger\u00e4te ohne Zugangsdaten per http remote ein- und ausschalten k\u00f6nne. Der Leser, der anonym bleiben will, fragte, an wen er sich wenden k\u00f6nne. Ich habe dann den Leser per E-Mail kontaktiert, nach Details gefragt und angeboten, den Hersteller und ggf. das BSI zu kontaktieren. Hier die Antworten des Lesers, die ich leicht redigiert habe:<\/p>\n

Es war denkbar einfach: Das Ger\u00e4t hat kein CLI, sollte aber aus einer Anwendungsoberfl\u00e4che ein- und ausgeschaltet werden k\u00f6nnen.<\/p>\n

Da ich ohnehin mit Python Skripten \u00fcber librequests andere Ger\u00e4te angesprochen hatte, hab ich das einfach auch hier gemacht. Das \u00fcbliche vorgehen: Im Firefox die hin- und her gesendeten json requests nachvollziehen und in Python \u00fcbernehmen. Wichtige Parameter dann per CLI Parameter (IP, User, Kennwort, PDU-Ausgangs-Port, ein\/aus\/cycle) \u00fcbergeben lassen und sanitizen.<\/p>\n

Als ich dann testweise Mal ein falsches Kennwort \u00fcbergeben habe, um zu pr\u00fcfen ob die Kennwort\u00fcbergabe aus der CLI klappt, musste ich feststellen, dass sich die Ger\u00e4te immer noch ein- und ausschalten lassen.<\/p>\n

Hab dann erst gedacht, da w\u00e4re noch etwas im Cache, aber als mir ziemlich schnell klar wurde, dass ein beendetes Python Skript nicht irgendwo Daten aus einem Cache nutzt, wenn ich es neu starte, war klar, wo der Hase lang l\u00e4uft. Die Login-Prozedur konnte ich schlicht entfernen.
\nDer Hersteller (US) als auch H\u00e4ndler wurde von meinem Chef angesprochen, aber der Hersteller sagt: Teilemangel, wir k\u00f6nnen keine neuen Ger\u00e4te liefern, also haben wir auch alle Programmierer entlassen, ergo: Kein Fixen m\u00f6glich.<\/p><\/blockquote>\n

Der Leser hat mir noch folgenden Code-Schnipsel zukommen lassen, mit dem er die Power Delivery Unit gezielt ein- oder ausschalten kann.<\/p>\n

#!\/usr\/bin\/env python3\r\nimport requests\r\nsession = requests.session()\r\nresponse = session.post('http:\/\/192.168.1.2:80\/cgi-bin\/MMX32_Keyvalue.cgi', data='{Input01CMD=12$!')<\/code><\/pre>\n
Der obige Beispielcode schaltet Ausgangsport 12 auf Strom aus<\/em>, wobei die 12 im Data-Field eine Zahl von 1 – 12 sein kann, ohne f\u00fchrende 0. Der Leser schrieb dazu:<\/p>\n
Dass der String mit einer geschweiften Klammer anf\u00e4ngt, die nicht geschlossen wird sieht f\u00fcr mich nach Obfuscation aus.<\/p><\/blockquote>\n
Zu diesem Zeitpunkt schrieb mir der Leser, dass der Hersteller wohl endlich dran sei, sich den Bug anzuschauen. Beim Blog-Leser werden die Power Delivery Unit in einem Rechenzentrum, allerdings abgeschirmt vom Internet, eingesetzt. Es ist zu vermuten, dass nicht alle Rechenzentrumsbetreiber dies so handhaben; sprich: Ein Angreifer k\u00f6nnte dann per Netzwerk, Internet etc. die Stromversorgung f\u00fcr beliebige Komponenten, die an der Power Delivery Unit h\u00e4ngen, ausknipsen. W\u00e4re dann ein wahr gewordener Alptraum f\u00fcr die Betreiber.<\/p>\n
Kontakt mit dem Hersteller, dem BSI und CERT-Bund<\/h3>\n
An dieser Stelle habe ich schrittweise versucht, den Hersteller TechLogix Networx zu kontaktieren und sp\u00e4ter das BSI sowie CERT-Bund mit ins Boot zu nehmen, um ggf. eine Warnung an Rechenzentrumsbetreiber zu schicken.<\/p>\n