Abo
  • Services:
Anzeige
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks.
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks. (Bild: Palo Alto Networks)

Palo Alto Networks: VPN-Webinterface mit überlangen Benutzernamen angreifbar

Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks.
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks. (Bild: Palo Alto Networks)

Ein Sicherheitsforscher der Heidelberger Firma ERNW hat eine Remote-Code-Execution-Lücke auf einer Palo-Alto-Appliance gefunden. Verantwortlich dafür war ein fehlender Längencheck bei der Eingabe des Benutzernamens.

Felix Wilhelm von der Firma ERNW hat auf der Troopers-Konferenz in Heidelberg diverse Sicherheitslücken in Appliances der Firma Palo Alto Networks vorgestellt. Es ist nicht die erste Security-Appliance, in der Wilhelm Sicherheitslücken findet: Im September hatte er bereits in Geräten der Firma Fireeye zahlreiche Probleme gefunden. Das sorgte damals für einige Aufregung, da Fireeye mittels einer einstweiligen Verfügung Teile der Veröffentlichung verhindert hatte.

Anzeige

Selten genutzte MIPS64-Architektur

Die untersuchte Appliance nutzt intern ein Linux-System auf einem MIPS64-Prozessor der Firma Cavium. MIPS-Prozessoren mit 64 Bit werden vergleichsweise selten eingesetzt, damit handelt es sich um eine relativ ungewöhnliche Architektur.

Auch der Besitzer einer Palo-Alto-Appliance hat auf das Gerät zunächst keinen Root-Zugriff. Um das System zu untersuchen, musste Wilhelm sich also zunächst einen entsprechenden Zugriff verschaffen. Die Geräte besitzen eine eingeschränkte Shell, die dort eingegebenen Befehle werden dann zu entsprechenden Befehlen auf dem Linux-System übersetzt. Hier fand sich eine Shell-Injection-Lücke, mit der man sich den Root-Zugriff verschaffen kann.

Im internen Webinterface der Appliance fand sich eine Lücke beim Parsen der HTTP-Header. Für ein Header-Feld wurde der Rückgabewert einer Escaping-Funktion nicht geprüft. Bei längeren Headern schlug das Escaping fehl, dadurch wurde nur ein Teilstring weitergereicht. Das ermöglichte anschließend das Einfügen von Code, da der Header-Wert auf der Kommandozeile übergeben wurde. Diese Lücke ist jedoch laut Wilhelm vergleichsweise unkritisch, denn das Management-Webinterface sollte grundsätzlich nur intern zugänglich sein.

Rechteverwaltung mittels Useraccounts lässt sich austricksen

Ein weiteres Problem fand sich in einem Feature namens User-ID. Die Palo-Alto-Appliance ermöglicht es hier, bestimmte Netzwerkberechtigungen auf Basis eines Useraccounts zu vergeben. Dafür muss das Gerät wissen, welche User gerade welche IP besitzen. Weiß das Gerät aktuell nicht, welcher User zu einer IP gehört, wird dies über ein NetBIOS-Request abgefragt. Offenbar lässt sich diese Antwort relativ einfach fälschen. Details dazu wollte Wilhelm jedoch noch nicht verraten, da das Problem offenbar noch nicht vollständig von Palo Alto Networks behoben wurde. Generell empfahl er aber Nutzern entsprechender Geräte, das Feature zum automatischen Zuweisen von IPs zu Benutzern zu deaktivieren.

Das User-ID-Feature hat offenbar in der Vergangenheit schon zu unerwarteten Nebenwirkungen geführt. HD Moore von der Firma Rapid 7 hatte 2014 in einem Blogeintrag geschrieben, dass nach einem Internet-weiten Scan unerwartet viele NetBIOS-Pakete den Scan-Server erreichten. Offenbar gab es einige derartige Palo-Alto-Geräte, die fehlerhaft konfiguriert waren und das User-ID-Feature für das gesamte öffentliche Internet umzusetzen versuchten.

Alle bisher beschriebenen Angriffe betreffen nur das lokale Netz. Ein weiteres Feature der Palo-Alto-Appliances ist ein VPN-Zugriff, für den es ein öffentliches Webinterface gibt. Hier fand Wilhelm zunächst heraus, dass die dort verwendeten Cookies mit einem Passwort verschlüsselt sind, das auf den Defaultwert "p1a2l3o4a5l6t7o8" gesetzt ist. Wenn man das Passwort nicht ändert, kann ein Angreifer die Werte von Cookies nachvollziehen. Palo Alto Networks will daran nichts ändern und sieht es nicht als Sicherheitsproblem, da es in der Dokumentation beschrieben sei. Wer entsprechende Geräte einsetzt, sollte also unbedingt das Default-Passwort ändern.

Buffer Overflow im Login-Interface

Für einen Angreifer, der keine Zugangsdaten besitzt, bietet sich nur das Login-Interface als Angriffsfläche an. Das Webinterface läuft auf einem Server namens Appweb, der wiederum PHP verwendet. Im Login-Interface fand Wilhelm einen eher ungewöhnlichen Buffer Overflow: Der Benutzername wird in einem 1.024 Byte großen Speicherbereich abgelegt. Vorher wird mit einer Funktion namens "escapeStringForXml" die Eingabe geprüft.

Normalerweise werden Strings, die länger als 1.024 Byte sind, an dieser Stelle verworfen. Doch wenn man einen String verwendet, der ausschließlich aus gültigen Multibyte-UTF-8-Zeichen besteht, wird der Längencheck übersprungen. Damit lässt sich also ein Buffer Overflow erzeugen, allerdings mit sehr eingeschränkten Eingabedaten. Die möglichen Eingabezeichen lassen sich jedoch erweitern, wenn der Benutzername ein @ enthält. Dann lassen sich im Lokalteil UTF-8-Zeichen und im Domain-Teil ASCII-Zeichen verwenden.

Das System nutzt keine Position Independent Executables und hat damit nur eine eingeschränkte Speicherrandomisierung. Außerdem kommen keine Stack Canaries zum Einsatz. Doch der Cavium-Prozessor besitzt - für MIPS-Systeme relativ ungewöhnlich - eine Funktion namens "Execute Inhibitor", die vergleichbar mit DEP auf X86-Systemen ist und die dafür sorgt, dass der Stack in nicht ausführbaren Speicherbereichen liegt. Mittels eines Exploits, der Heap Spraying und Return Orientend Programming einsetzt, gelang es Wilhelm, trotz des sehr eingeschränkten Buffer Overflows Code auf dem Gerät auszuführen.

Das Webinterface wurde mit den Rechten des Nutzers "nobody" betrieben, somit ermöglichte auch dieser Exploit keine direkte Übernahme des gesamten Systems. Doch hierfür fand Wilhelm eine weitere Lücke, die er allerdings nur grob umriss, da sie wohl noch nicht gepatcht wurde. Sie befindet sich offenbar in einem Parser und ermöglicht das einfügen von Shell-Befehlen.

Für Palo Alto Networks hatte Wilhelm am Ende auch lobende Worte übrig. Die Firma habe ein großes Interesse an den Fehlerberichten gezeigt und sei offenbar bemüht, die Lücken zu schließen. Ähnlichen Ärger wie mit Fireeye hatte es demnach offenbar nicht gegeben.


eye home zur Startseite
Tuxianer 19. Mär 2016

Golem berichtete: @Golem: Funktioniert das nur, wenn man direkt mit dem Gerät verbunden...

Neuro-Chef 18. Mär 2016

Genau wie die Konkurrenz - Ich glaube jetzt waren innerhalb eines Jahres alle üblichen...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, München, Nürnberg
  2. T-Systems International GmbH, Berlin
  3. Worldline GmbH, Aachen
  4. T-Systems International GmbH, München


Anzeige
Spiele-Angebote
  1. 44,00€ (Vorbesteller-Preisgarantie)
  2. 54,85€
  3. 699,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Tipps für IT-Engagement in Fernost
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
­Cybersyn: Chiles Traum von der computergesteuerten Planwirtschaft
­Cybersyn
Chiles Traum von der computergesteuerten Planwirtschaft
  1. Power9 IBMs 24-Kern-Chip kann 8 TByte RAM pro Sockel nutzen
  2. Princeton Piton Open-Source-Chip soll System mit 200.000 Kernen ermöglichen
  3. Adecco IBM will Helpdesk-Geschäft in Erfurt und Leipzig loswerden

Thinkpad X1 Carbon 2013 vs 2016: Drei Jahre, zwei Ultrabooks, eine Erkenntnis
Thinkpad X1 Carbon 2013 vs 2016
Drei Jahre, zwei Ultrabooks, eine Erkenntnis
  1. Huawei Matebook im Test Guter Laptop-Ersatz mit zu starker Konkurrenz
  2. iPad Pro Case Razer zeigt flache mechanische Switches
  3. Thinkpwn Lenovo warnt vor mysteriöser Bios-Schwachstelle

Asus PG248Q im Test: 180 Hertz erkannt, 180 Hertz gebannt
Asus PG248Q im Test
180 Hertz erkannt, 180 Hertz gebannt
  1. Raspberry Pi 3 Booten über USB oder per Ethernet
  2. Autonomes Fahren Mercedes stoppt Werbespot wegen überzogener Versprechen
  3. Radeon RX 480 Dank DX12 und Vulkan reicht auch eine Mittelklasse-CPU

  1. Re: 30 Stunden auf Abruf ?!?

    picaschaf | 05:32

  2. Re: Hinweis: Um sich diesen Artikel vorlesen zu...

    Squirrelchen | 03:56

  3. Re: BQ Aquaris X5 Plus (~290¤)

    ve2000 | 03:20

  4. Re: Ist doch billiger

    plutoniumsulfat | 02:29

  5. Re: Wenn wir jetzt noch den Faktor "bei gleicher...

    plutoniumsulfat | 02:21


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel