Abo
  • Services:

Palo Alto Networks: VPN-Webinterface mit überlangen Benutzernamen angreifbar

Ein Sicherheitsforscher der Heidelberger Firma ERNW hat eine Remote-Code-Execution-Lücke auf einer Palo-Alto-Appliance gefunden. Verantwortlich dafür war ein fehlender Längencheck bei der Eingabe des Benutzernamens.

Artikel veröffentlicht am , Hanno Böck
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks.
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks. (Bild: Palo Alto Networks)

Felix Wilhelm von der Firma ERNW hat auf der Troopers-Konferenz in Heidelberg diverse Sicherheitslücken in Appliances der Firma Palo Alto Networks vorgestellt. Es ist nicht die erste Security-Appliance, in der Wilhelm Sicherheitslücken findet: Im September hatte er bereits in Geräten der Firma Fireeye zahlreiche Probleme gefunden. Das sorgte damals für einige Aufregung, da Fireeye mittels einer einstweiligen Verfügung Teile der Veröffentlichung verhindert hatte.

Selten genutzte MIPS64-Architektur

Stellenmarkt
  1. Walter AG, Tübingen
  2. MBDA Deutschland, Schrobenhausen

Die untersuchte Appliance nutzt intern ein Linux-System auf einem MIPS64-Prozessor der Firma Cavium. MIPS-Prozessoren mit 64 Bit werden vergleichsweise selten eingesetzt, damit handelt es sich um eine relativ ungewöhnliche Architektur.

Auch der Besitzer einer Palo-Alto-Appliance hat auf das Gerät zunächst keinen Root-Zugriff. Um das System zu untersuchen, musste Wilhelm sich also zunächst einen entsprechenden Zugriff verschaffen. Die Geräte besitzen eine eingeschränkte Shell, die dort eingegebenen Befehle werden dann zu entsprechenden Befehlen auf dem Linux-System übersetzt. Hier fand sich eine Shell-Injection-Lücke, mit der man sich den Root-Zugriff verschaffen kann.

Im internen Webinterface der Appliance fand sich eine Lücke beim Parsen der HTTP-Header. Für ein Header-Feld wurde der Rückgabewert einer Escaping-Funktion nicht geprüft. Bei längeren Headern schlug das Escaping fehl, dadurch wurde nur ein Teilstring weitergereicht. Das ermöglichte anschließend das Einfügen von Code, da der Header-Wert auf der Kommandozeile übergeben wurde. Diese Lücke ist jedoch laut Wilhelm vergleichsweise unkritisch, denn das Management-Webinterface sollte grundsätzlich nur intern zugänglich sein.

Rechteverwaltung mittels Useraccounts lässt sich austricksen

Ein weiteres Problem fand sich in einem Feature namens User-ID. Die Palo-Alto-Appliance ermöglicht es hier, bestimmte Netzwerkberechtigungen auf Basis eines Useraccounts zu vergeben. Dafür muss das Gerät wissen, welche User gerade welche IP besitzen. Weiß das Gerät aktuell nicht, welcher User zu einer IP gehört, wird dies über ein NetBIOS-Request abgefragt. Offenbar lässt sich diese Antwort relativ einfach fälschen. Details dazu wollte Wilhelm jedoch noch nicht verraten, da das Problem offenbar noch nicht vollständig von Palo Alto Networks behoben wurde. Generell empfahl er aber Nutzern entsprechender Geräte, das Feature zum automatischen Zuweisen von IPs zu Benutzern zu deaktivieren.

Das User-ID-Feature hat offenbar in der Vergangenheit schon zu unerwarteten Nebenwirkungen geführt. HD Moore von der Firma Rapid 7 hatte 2014 in einem Blogeintrag geschrieben, dass nach einem Internet-weiten Scan unerwartet viele NetBIOS-Pakete den Scan-Server erreichten. Offenbar gab es einige derartige Palo-Alto-Geräte, die fehlerhaft konfiguriert waren und das User-ID-Feature für das gesamte öffentliche Internet umzusetzen versuchten.

Alle bisher beschriebenen Angriffe betreffen nur das lokale Netz. Ein weiteres Feature der Palo-Alto-Appliances ist ein VPN-Zugriff, für den es ein öffentliches Webinterface gibt. Hier fand Wilhelm zunächst heraus, dass die dort verwendeten Cookies mit einem Passwort verschlüsselt sind, das auf den Defaultwert "p1a2l3o4a5l6t7o8" gesetzt ist. Wenn man das Passwort nicht ändert, kann ein Angreifer die Werte von Cookies nachvollziehen. Palo Alto Networks will daran nichts ändern und sieht es nicht als Sicherheitsproblem, da es in der Dokumentation beschrieben sei. Wer entsprechende Geräte einsetzt, sollte also unbedingt das Default-Passwort ändern.

Buffer Overflow im Login-Interface

Für einen Angreifer, der keine Zugangsdaten besitzt, bietet sich nur das Login-Interface als Angriffsfläche an. Das Webinterface läuft auf einem Server namens Appweb, der wiederum PHP verwendet. Im Login-Interface fand Wilhelm einen eher ungewöhnlichen Buffer Overflow: Der Benutzername wird in einem 1.024 Byte großen Speicherbereich abgelegt. Vorher wird mit einer Funktion namens "escapeStringForXml" die Eingabe geprüft.

Normalerweise werden Strings, die länger als 1.024 Byte sind, an dieser Stelle verworfen. Doch wenn man einen String verwendet, der ausschließlich aus gültigen Multibyte-UTF-8-Zeichen besteht, wird der Längencheck übersprungen. Damit lässt sich also ein Buffer Overflow erzeugen, allerdings mit sehr eingeschränkten Eingabedaten. Die möglichen Eingabezeichen lassen sich jedoch erweitern, wenn der Benutzername ein @ enthält. Dann lassen sich im Lokalteil UTF-8-Zeichen und im Domain-Teil ASCII-Zeichen verwenden.

Das System nutzt keine Position Independent Executables und hat damit nur eine eingeschränkte Speicherrandomisierung. Außerdem kommen keine Stack Canaries zum Einsatz. Doch der Cavium-Prozessor besitzt - für MIPS-Systeme relativ ungewöhnlich - eine Funktion namens "Execute Inhibitor", die vergleichbar mit DEP auf X86-Systemen ist und die dafür sorgt, dass der Stack in nicht ausführbaren Speicherbereichen liegt. Mittels eines Exploits, der Heap Spraying und Return Orientend Programming einsetzt, gelang es Wilhelm, trotz des sehr eingeschränkten Buffer Overflows Code auf dem Gerät auszuführen.

Das Webinterface wurde mit den Rechten des Nutzers "nobody" betrieben, somit ermöglichte auch dieser Exploit keine direkte Übernahme des gesamten Systems. Doch hierfür fand Wilhelm eine weitere Lücke, die er allerdings nur grob umriss, da sie wohl noch nicht gepatcht wurde. Sie befindet sich offenbar in einem Parser und ermöglicht das einfügen von Shell-Befehlen.

Für Palo Alto Networks hatte Wilhelm am Ende auch lobende Worte übrig. Die Firma habe ein großes Interesse an den Fehlerberichten gezeigt und sei offenbar bemüht, die Lücken zu schließen. Ähnlichen Ärger wie mit Fireeye hatte es demnach offenbar nicht gegeben.



Anzeige
Hardware-Angebote
  1. 106,34€ + Versand
  2. und Far Cry 5 gratis erhalten

Tuxianer 19. Mär 2016

Golem berichtete: @Golem: Funktioniert das nur, wenn man direkt mit dem Gerät verbunden...

Neuro-Chef 18. Mär 2016

Genau wie die Konkurrenz - Ich glaube jetzt waren innerhalb eines Jahres alle üblichen...


Folgen Sie uns
       


Kameravergleich Smartphones

Samsungs Galaxy S9+ macht gute Fotos - auch im Vergleich zur Konkurrenz, wie unser Vergleichstest zeigt.

Kameravergleich Smartphones Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /