• IT-Karriere:
  • Services:

Palo Alto Networks: VPN-Webinterface mit überlangen Benutzernamen angreifbar

Ein Sicherheitsforscher der Heidelberger Firma ERNW hat eine Remote-Code-Execution-Lücke auf einer Palo-Alto-Appliance gefunden. Verantwortlich dafür war ein fehlender Längencheck bei der Eingabe des Benutzernamens.

Artikel veröffentlicht am , Hanno Böck
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks.
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks. (Bild: Palo Alto Networks)

Felix Wilhelm von der Firma ERNW hat auf der Troopers-Konferenz in Heidelberg diverse Sicherheitslücken in Appliances der Firma Palo Alto Networks vorgestellt. Es ist nicht die erste Security-Appliance, in der Wilhelm Sicherheitslücken findet: Im September hatte er bereits in Geräten der Firma Fireeye zahlreiche Probleme gefunden. Das sorgte damals für einige Aufregung, da Fireeye mittels einer einstweiligen Verfügung Teile der Veröffentlichung verhindert hatte.

Selten genutzte MIPS64-Architektur

Stellenmarkt
  1. Amprion GmbH, Pulheim-Brauweiler bei Köln
  2. Team GmbH, Paderborn

Die untersuchte Appliance nutzt intern ein Linux-System auf einem MIPS64-Prozessor der Firma Cavium. MIPS-Prozessoren mit 64 Bit werden vergleichsweise selten eingesetzt, damit handelt es sich um eine relativ ungewöhnliche Architektur.

Auch der Besitzer einer Palo-Alto-Appliance hat auf das Gerät zunächst keinen Root-Zugriff. Um das System zu untersuchen, musste Wilhelm sich also zunächst einen entsprechenden Zugriff verschaffen. Die Geräte besitzen eine eingeschränkte Shell, die dort eingegebenen Befehle werden dann zu entsprechenden Befehlen auf dem Linux-System übersetzt. Hier fand sich eine Shell-Injection-Lücke, mit der man sich den Root-Zugriff verschaffen kann.

Im internen Webinterface der Appliance fand sich eine Lücke beim Parsen der HTTP-Header. Für ein Header-Feld wurde der Rückgabewert einer Escaping-Funktion nicht geprüft. Bei längeren Headern schlug das Escaping fehl, dadurch wurde nur ein Teilstring weitergereicht. Das ermöglichte anschließend das Einfügen von Code, da der Header-Wert auf der Kommandozeile übergeben wurde. Diese Lücke ist jedoch laut Wilhelm vergleichsweise unkritisch, denn das Management-Webinterface sollte grundsätzlich nur intern zugänglich sein.

Rechteverwaltung mittels Useraccounts lässt sich austricksen

Ein weiteres Problem fand sich in einem Feature namens User-ID. Die Palo-Alto-Appliance ermöglicht es hier, bestimmte Netzwerkberechtigungen auf Basis eines Useraccounts zu vergeben. Dafür muss das Gerät wissen, welche User gerade welche IP besitzen. Weiß das Gerät aktuell nicht, welcher User zu einer IP gehört, wird dies über ein NetBIOS-Request abgefragt. Offenbar lässt sich diese Antwort relativ einfach fälschen. Details dazu wollte Wilhelm jedoch noch nicht verraten, da das Problem offenbar noch nicht vollständig von Palo Alto Networks behoben wurde. Generell empfahl er aber Nutzern entsprechender Geräte, das Feature zum automatischen Zuweisen von IPs zu Benutzern zu deaktivieren.

Das User-ID-Feature hat offenbar in der Vergangenheit schon zu unerwarteten Nebenwirkungen geführt. HD Moore von der Firma Rapid 7 hatte 2014 in einem Blogeintrag geschrieben, dass nach einem Internet-weiten Scan unerwartet viele NetBIOS-Pakete den Scan-Server erreichten. Offenbar gab es einige derartige Palo-Alto-Geräte, die fehlerhaft konfiguriert waren und das User-ID-Feature für das gesamte öffentliche Internet umzusetzen versuchten.

Alle bisher beschriebenen Angriffe betreffen nur das lokale Netz. Ein weiteres Feature der Palo-Alto-Appliances ist ein VPN-Zugriff, für den es ein öffentliches Webinterface gibt. Hier fand Wilhelm zunächst heraus, dass die dort verwendeten Cookies mit einem Passwort verschlüsselt sind, das auf den Defaultwert "p1a2l3o4a5l6t7o8" gesetzt ist. Wenn man das Passwort nicht ändert, kann ein Angreifer die Werte von Cookies nachvollziehen. Palo Alto Networks will daran nichts ändern und sieht es nicht als Sicherheitsproblem, da es in der Dokumentation beschrieben sei. Wer entsprechende Geräte einsetzt, sollte also unbedingt das Default-Passwort ändern.

Buffer Overflow im Login-Interface

Für einen Angreifer, der keine Zugangsdaten besitzt, bietet sich nur das Login-Interface als Angriffsfläche an. Das Webinterface läuft auf einem Server namens Appweb, der wiederum PHP verwendet. Im Login-Interface fand Wilhelm einen eher ungewöhnlichen Buffer Overflow: Der Benutzername wird in einem 1.024 Byte großen Speicherbereich abgelegt. Vorher wird mit einer Funktion namens "escapeStringForXml" die Eingabe geprüft.

Normalerweise werden Strings, die länger als 1.024 Byte sind, an dieser Stelle verworfen. Doch wenn man einen String verwendet, der ausschließlich aus gültigen Multibyte-UTF-8-Zeichen besteht, wird der Längencheck übersprungen. Damit lässt sich also ein Buffer Overflow erzeugen, allerdings mit sehr eingeschränkten Eingabedaten. Die möglichen Eingabezeichen lassen sich jedoch erweitern, wenn der Benutzername ein @ enthält. Dann lassen sich im Lokalteil UTF-8-Zeichen und im Domain-Teil ASCII-Zeichen verwenden.

Das System nutzt keine Position Independent Executables und hat damit nur eine eingeschränkte Speicherrandomisierung. Außerdem kommen keine Stack Canaries zum Einsatz. Doch der Cavium-Prozessor besitzt - für MIPS-Systeme relativ ungewöhnlich - eine Funktion namens "Execute Inhibitor", die vergleichbar mit DEP auf X86-Systemen ist und die dafür sorgt, dass der Stack in nicht ausführbaren Speicherbereichen liegt. Mittels eines Exploits, der Heap Spraying und Return Orientend Programming einsetzt, gelang es Wilhelm, trotz des sehr eingeschränkten Buffer Overflows Code auf dem Gerät auszuführen.

Das Webinterface wurde mit den Rechten des Nutzers "nobody" betrieben, somit ermöglichte auch dieser Exploit keine direkte Übernahme des gesamten Systems. Doch hierfür fand Wilhelm eine weitere Lücke, die er allerdings nur grob umriss, da sie wohl noch nicht gepatcht wurde. Sie befindet sich offenbar in einem Parser und ermöglicht das einfügen von Shell-Befehlen.

Für Palo Alto Networks hatte Wilhelm am Ende auch lobende Worte übrig. Die Firma habe ein großes Interesse an den Fehlerberichten gezeigt und sei offenbar bemüht, die Lücken zu schließen. Ähnlichen Ärger wie mit Fireeye hatte es demnach offenbar nicht gegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. gratis (bis zum 12. April)
  2. 799€ statt 934€ im Vergleich
  3. (Canon EOS 250D Spiegelreflexkamera, 24,1 Megapixel mit Objektiv 18-55 mm (7,7 cm Touchscreen...

Tuxianer 19. Mär 2016

Golem berichtete: @Golem: Funktioniert das nur, wenn man direkt mit dem Gerät verbunden...

Neuro-Chef 18. Mär 2016

Genau wie die Konkurrenz - Ich glaube jetzt waren innerhalb eines Jahres alle üblichen...


Folgen Sie uns
       


Dell Latitude 7220 - Test

Das Latitude 7220 ist so stabil wie es aussieht: Es hält Wasser, Blumenerde und sogar mehrere Stürze hintereinander aus.

Dell Latitude 7220 - Test Video aufrufen
Dell Ultrasharp UP3218K im Test: 8K ist es noch nicht wert
Dell Ultrasharp UP3218K im Test
8K ist es noch nicht wert

Alles fing so gut an: Der Dell Ultrasharp UP3218K hat ein schön gestochen scharfes 8K-Bild und einen erstklassigen Standfuß zu bieten. Dann kommen aber die Probleme, die beim Spiegelpanel anfangen und bis zum absurd hohen Preis reichen.
Von Oliver Nickel

  1. Dell Latitude 7220 im Test Das Rugged-Tablet für die Zombieapokalypse
  2. Dell Anleitung hilft beim Desinfizieren von Servern und Clients
  3. STG Partners Dell will RSA für 2 Milliarden US-Dollar verkaufen

Bodyhacking: Prothese statt Drehregler
Bodyhacking
Prothese statt Drehregler

Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
Ein Interview von Tobias Költzsch


    Schenker Via 14 im Test: Leipziger Langläufer-Laptop
    Schenker Via 14 im Test
    Leipziger Langläufer-Laptop

    Dank 73-Wattstunden-Akku hält das 14-Zoll-Ultrabook von Schenker trotz fast komplett aufrüstbarer Hardware lange durch.
    Ein Test von Marc Sauter

    1. XMG Neo 15 (E20) Schenker erhöht Akkukapazität um 50 Prozent
    2. XMG Apex 15 Schenker packt 16C-Ryzen in Notebook
    3. XMG Fusion 15 Schenkers Gaming-Laptop soll 10 Stunden durchhalten

      •  /