Abo
  • Services:
Anzeige
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht.
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht. (Bild: Kerio)

Social Engineering gegen Admins

Kerio hatte zum Zeitpunkt der ersten Untersuchung nach Angaben von René Freingruber von SEC Consult bislang nur eine Anfälligkeit für Cross-Site-Scripting (XSS-Lücke) und die SQL-Injektion geschlossen, die Anfälligkeit für Remote Code Execution besteht nach wie vor. Das Team suchte daher nach einer neuen Möglichkeit, diese Sicherheitslücke über das Internet auszunutzen.

Der Angriff richtet sich gegen die Administrationsoberfläche der Softwaresuite und dort gegen Administrator-Accounts. Um einen erfolgreichen Angriff durchzuführen, wird zunächst die interne IP-Adresse der Firewall benötigt. Dazu stellen die Forscher mehrere Angriffsvektoren vor, unter anderem einen IP Adress Leak durch WebRTC, E-Mail-Header, falsch konfigurierte DNS-Server oder andere Information-Disclosure-Sicherheitslücken. Auch Social Engineering sei möglich.

Anzeige

Im nächsten Schritt soll dann überprüft werden, ob die Firewall tatsächlich unter der angegebenen Adresse läuft. Wegen der Same-Origin-Policy (SOP) können die Hacker ihren Angriffscode nicht direkt ausführen, weil diese die Ausführung von Code blockiert, wenn dieser von einer anderen Quelle stammt. Stattdessen laden sie den Code über einen anderen Kanal (Side-Channel-Angriff), um die SOP zu umgehen. Dazu wird der HTML-Code der eigenen Anfrage um den Wert "'KerioIP KerioIP ':4081/ ':4081/ nonauth nonauth nonauth/gfx /kerio_logo.gif " ergänzt. Wenn Kerio Control auf der entsprechenden IP läuft, wird die Callback-Funktion Kerio_not_alive ausgeführt.

Bash-Skript öffnet Remote-Shell

Nach einem erfolgreichen Exploit kann dann der eigentliche Angriff durchgeführt werden: In der Administrationsoberfläche lassen sich neue Firmware-Images einspielen. Die vom Nutzer angegebenen Images werden nicht auf eine gültige Signatur überprüft. Außerdem enthalten die Images ein Bash-Skript, das vom Angreifer manipuliert werden kann. Über dieses Bash-Skript kann der Angreifer dann eine Remote-Shell öffnen und weitere Angriffe ausführen.

Wer Kontrolle über die Administrationsoberfläche hat, kann natürlich ohnehin großen Einfluss auf das System nehmen. Trotzdem ist dies ein valider Angriffsvektor für einen professionellen Angreifer, der versucht, Nutzerdaten über Social Engineering zu gewinnen.

Die NSA macht verschiedenen Berichten zufolge genau das. Zahlreiche große Hacks in den vergangenen Jahren gingen auf Social Engineering zurück, seien es iCloud-Angriffe gegen Prominente oder Clintons Berater John Podesta.

 Alte PHP-Versionen: Wenn deine Sicherheitssoftware dich verwundbar machtSchwachstelle aus 2014 

eye home zur Startseite
Moe479 17. Nov 2016

also doch den rat der weisen alten greisen regieren lassen ... but, we already got that!?! xD

Tigerf 17. Nov 2016

Wir geben einen Haufen Geld aus und betreiben schwer durchschaubare Systeme, deshalb sind...

Tigerf 17. Nov 2016

Je mehr Systeme und Ebenen eingezogen werden, desto größer die Gefahr. Am besten noch...

RipClaw 17. Nov 2016

Das betrachten die nicht als potentielle Sicherheitslücke ? Jeder Systemadministrator der...



Anzeige

Stellenmarkt
  1. ARRK ENGINEERING, München
  2. über Hanseatisches Personalkontor Bremen, Bremen
  3. AEVI International GmbH, Berlin
  4. via 3C - Career Consulting Company GmbH, München, Frankfurt, Hamburg, Düsseldorf, Berlin (Home-Office)


Anzeige
Hardware-Angebote
  1. 699€
  2. 18,99€ statt 39,99€

Folgen Sie uns
       


  1. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  2. Die Woche im Video

    Schwachstellen, wohin man schaut

  3. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  4. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  5. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  6. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  7. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  8. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  9. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  10. Oracle

    Java SE 9 und Java EE 8 gehen live



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Und bei DSL?

    bombinho | 11:04

  2. Re: War das im Video das Kabel oder der Zugdraht?

    Eheran | 11:03

  3. Re: Geringwertiger Gütertransport

    logged_in | 11:03

  4. Re: Frage

    logged_in | 11:00

  5. Re: Absicht?

    ArcherV | 10:48


  1. 11:03

  2. 09:03

  3. 17:43

  4. 17:25

  5. 16:55

  6. 16:39

  7. 16:12

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel