Abo
  • Services:
Anzeige
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks.
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks. (Bild: Palo Alto Networks)

Palo Alto Networks: VPN-Webinterface mit überlangen Benutzernamen angreifbar

Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks.
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks. (Bild: Palo Alto Networks)

Ein Sicherheitsforscher der Heidelberger Firma ERNW hat eine Remote-Code-Execution-Lücke auf einer Palo-Alto-Appliance gefunden. Verantwortlich dafür war ein fehlender Längencheck bei der Eingabe des Benutzernamens.

Felix Wilhelm von der Firma ERNW hat auf der Troopers-Konferenz in Heidelberg diverse Sicherheitslücken in Appliances der Firma Palo Alto Networks vorgestellt. Es ist nicht die erste Security-Appliance, in der Wilhelm Sicherheitslücken findet: Im September hatte er bereits in Geräten der Firma Fireeye zahlreiche Probleme gefunden. Das sorgte damals für einige Aufregung, da Fireeye mittels einer einstweiligen Verfügung Teile der Veröffentlichung verhindert hatte.

Anzeige

Selten genutzte MIPS64-Architektur

Die untersuchte Appliance nutzt intern ein Linux-System auf einem MIPS64-Prozessor der Firma Cavium. MIPS-Prozessoren mit 64 Bit werden vergleichsweise selten eingesetzt, damit handelt es sich um eine relativ ungewöhnliche Architektur.

Auch der Besitzer einer Palo-Alto-Appliance hat auf das Gerät zunächst keinen Root-Zugriff. Um das System zu untersuchen, musste Wilhelm sich also zunächst einen entsprechenden Zugriff verschaffen. Die Geräte besitzen eine eingeschränkte Shell, die dort eingegebenen Befehle werden dann zu entsprechenden Befehlen auf dem Linux-System übersetzt. Hier fand sich eine Shell-Injection-Lücke, mit der man sich den Root-Zugriff verschaffen kann.

Im internen Webinterface der Appliance fand sich eine Lücke beim Parsen der HTTP-Header. Für ein Header-Feld wurde der Rückgabewert einer Escaping-Funktion nicht geprüft. Bei längeren Headern schlug das Escaping fehl, dadurch wurde nur ein Teilstring weitergereicht. Das ermöglichte anschließend das Einfügen von Code, da der Header-Wert auf der Kommandozeile übergeben wurde. Diese Lücke ist jedoch laut Wilhelm vergleichsweise unkritisch, denn das Management-Webinterface sollte grundsätzlich nur intern zugänglich sein.

Rechteverwaltung mittels Useraccounts lässt sich austricksen

Ein weiteres Problem fand sich in einem Feature namens User-ID. Die Palo-Alto-Appliance ermöglicht es hier, bestimmte Netzwerkberechtigungen auf Basis eines Useraccounts zu vergeben. Dafür muss das Gerät wissen, welche User gerade welche IP besitzen. Weiß das Gerät aktuell nicht, welcher User zu einer IP gehört, wird dies über ein NetBIOS-Request abgefragt. Offenbar lässt sich diese Antwort relativ einfach fälschen. Details dazu wollte Wilhelm jedoch noch nicht verraten, da das Problem offenbar noch nicht vollständig von Palo Alto Networks behoben wurde. Generell empfahl er aber Nutzern entsprechender Geräte, das Feature zum automatischen Zuweisen von IPs zu Benutzern zu deaktivieren.

Das User-ID-Feature hat offenbar in der Vergangenheit schon zu unerwarteten Nebenwirkungen geführt. HD Moore von der Firma Rapid 7 hatte 2014 in einem Blogeintrag geschrieben, dass nach einem Internet-weiten Scan unerwartet viele NetBIOS-Pakete den Scan-Server erreichten. Offenbar gab es einige derartige Palo-Alto-Geräte, die fehlerhaft konfiguriert waren und das User-ID-Feature für das gesamte öffentliche Internet umzusetzen versuchten.

Alle bisher beschriebenen Angriffe betreffen nur das lokale Netz. Ein weiteres Feature der Palo-Alto-Appliances ist ein VPN-Zugriff, für den es ein öffentliches Webinterface gibt. Hier fand Wilhelm zunächst heraus, dass die dort verwendeten Cookies mit einem Passwort verschlüsselt sind, das auf den Defaultwert "p1a2l3o4a5l6t7o8" gesetzt ist. Wenn man das Passwort nicht ändert, kann ein Angreifer die Werte von Cookies nachvollziehen. Palo Alto Networks will daran nichts ändern und sieht es nicht als Sicherheitsproblem, da es in der Dokumentation beschrieben sei. Wer entsprechende Geräte einsetzt, sollte also unbedingt das Default-Passwort ändern.

Buffer Overflow im Login-Interface

Für einen Angreifer, der keine Zugangsdaten besitzt, bietet sich nur das Login-Interface als Angriffsfläche an. Das Webinterface läuft auf einem Server namens Appweb, der wiederum PHP verwendet. Im Login-Interface fand Wilhelm einen eher ungewöhnlichen Buffer Overflow: Der Benutzername wird in einem 1.024 Byte großen Speicherbereich abgelegt. Vorher wird mit einer Funktion namens "escapeStringForXml" die Eingabe geprüft.

Normalerweise werden Strings, die länger als 1.024 Byte sind, an dieser Stelle verworfen. Doch wenn man einen String verwendet, der ausschließlich aus gültigen Multibyte-UTF-8-Zeichen besteht, wird der Längencheck übersprungen. Damit lässt sich also ein Buffer Overflow erzeugen, allerdings mit sehr eingeschränkten Eingabedaten. Die möglichen Eingabezeichen lassen sich jedoch erweitern, wenn der Benutzername ein @ enthält. Dann lassen sich im Lokalteil UTF-8-Zeichen und im Domain-Teil ASCII-Zeichen verwenden.

Das System nutzt keine Position Independent Executables und hat damit nur eine eingeschränkte Speicherrandomisierung. Außerdem kommen keine Stack Canaries zum Einsatz. Doch der Cavium-Prozessor besitzt - für MIPS-Systeme relativ ungewöhnlich - eine Funktion namens "Execute Inhibitor", die vergleichbar mit DEP auf X86-Systemen ist und die dafür sorgt, dass der Stack in nicht ausführbaren Speicherbereichen liegt. Mittels eines Exploits, der Heap Spraying und Return Orientend Programming einsetzt, gelang es Wilhelm, trotz des sehr eingeschränkten Buffer Overflows Code auf dem Gerät auszuführen.

Das Webinterface wurde mit den Rechten des Nutzers "nobody" betrieben, somit ermöglichte auch dieser Exploit keine direkte Übernahme des gesamten Systems. Doch hierfür fand Wilhelm eine weitere Lücke, die er allerdings nur grob umriss, da sie wohl noch nicht gepatcht wurde. Sie befindet sich offenbar in einem Parser und ermöglicht das einfügen von Shell-Befehlen.

Für Palo Alto Networks hatte Wilhelm am Ende auch lobende Worte übrig. Die Firma habe ein großes Interesse an den Fehlerberichten gezeigt und sei offenbar bemüht, die Lücken zu schließen. Ähnlichen Ärger wie mit Fireeye hatte es demnach offenbar nicht gegeben.


eye home zur Startseite
Tuxianer 19. Mär 2016

Golem berichtete: @Golem: Funktioniert das nur, wenn man direkt mit dem Gerät verbunden...

Neuro-Chef 18. Mär 2016

Genau wie die Konkurrenz - Ich glaube jetzt waren innerhalb eines Jahres alle üblichen...



Anzeige

Stellenmarkt
  1. NOBILIS Group GmbH, Wiesbaden
  2. Universität zu Köln RRZK, Köln
  3. Blickle Räder+Rollen GmbH & Co. KG, Rosenfeld
  4. Vaillant GmbH, Remscheid


Anzeige
Hardware-Angebote
  1. 99,00€
  2. und Gears of War 4 gratis erhalten
  3. 699,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Dice

    Kampagne von Battlefield 1 spielt an vielen Fronten

  2. NBase-T alias 802.3bz

    2.5GbE und 5GbE sind offizieller IEEE-Standard

  3. Samsung-Rückrufaktion

    Bereits 60 Prozent der Note-7-Geräte in Europa ausgetauscht

  4. Mavic Pro

    DJI stellt klappbaren 4K-Quadcopter für 1.200 US-Dollar vor

  5. Streamripper

    Musikindustrie will Youtube-mp3.org zerstören

  6. Jupitermond

    Nasa beobachtet Wasserdampf auf Europa

  7. Regierung

    Wie die Telekom bei Merkel ihre Interessen durchsetzt

  8. Embedded Radeon E9550

    AMD packt Polaris in 4K-Spieleautomaten

  9. Pay-TV

    Ultra-HD-Programm von Sky startet im Oktober

  10. Project Catapult

    Microsoft setzt massiv auf FPGAs



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Fitnessportale Die Spielifizierung des Sports

  1. Re: warum Urheberrecht-Verletzung?

    Moe479 | 05:23

  2. Re: Wie werden die priorisiert werden?

    postb1 | 04:39

  3. Re: Seit 1 Monat bei mir ca. 5ms niedrigere...

    Unix_Linux | 03:29

  4. ... und der Papst verbietet Kondome (kwT)

    tfg | 03:18

  5. Re: die Amis plätten VW und wir im gegenzug FB?

    GenXRoad | 03:16


  1. 20:57

  2. 18:35

  3. 18:03

  4. 17:50

  5. 17:41

  6. 15:51

  7. 15:35

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel