Abo
  • Services:
Anzeige
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks.
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks. (Bild: Palo Alto Networks)

Palo Alto Networks: VPN-Webinterface mit überlangen Benutzernamen angreifbar

Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks.
Zahlreiche Sicherheitslücken fanden sich bei einer Untersuchung von Appliances der Firma Palo Alto Networks. (Bild: Palo Alto Networks)

Ein Sicherheitsforscher der Heidelberger Firma ERNW hat eine Remote-Code-Execution-Lücke auf einer Palo-Alto-Appliance gefunden. Verantwortlich dafür war ein fehlender Längencheck bei der Eingabe des Benutzernamens.

Felix Wilhelm von der Firma ERNW hat auf der Troopers-Konferenz in Heidelberg diverse Sicherheitslücken in Appliances der Firma Palo Alto Networks vorgestellt. Es ist nicht die erste Security-Appliance, in der Wilhelm Sicherheitslücken findet: Im September hatte er bereits in Geräten der Firma Fireeye zahlreiche Probleme gefunden. Das sorgte damals für einige Aufregung, da Fireeye mittels einer einstweiligen Verfügung Teile der Veröffentlichung verhindert hatte.

Anzeige

Selten genutzte MIPS64-Architektur

Die untersuchte Appliance nutzt intern ein Linux-System auf einem MIPS64-Prozessor der Firma Cavium. MIPS-Prozessoren mit 64 Bit werden vergleichsweise selten eingesetzt, damit handelt es sich um eine relativ ungewöhnliche Architektur.

Auch der Besitzer einer Palo-Alto-Appliance hat auf das Gerät zunächst keinen Root-Zugriff. Um das System zu untersuchen, musste Wilhelm sich also zunächst einen entsprechenden Zugriff verschaffen. Die Geräte besitzen eine eingeschränkte Shell, die dort eingegebenen Befehle werden dann zu entsprechenden Befehlen auf dem Linux-System übersetzt. Hier fand sich eine Shell-Injection-Lücke, mit der man sich den Root-Zugriff verschaffen kann.

Im internen Webinterface der Appliance fand sich eine Lücke beim Parsen der HTTP-Header. Für ein Header-Feld wurde der Rückgabewert einer Escaping-Funktion nicht geprüft. Bei längeren Headern schlug das Escaping fehl, dadurch wurde nur ein Teilstring weitergereicht. Das ermöglichte anschließend das Einfügen von Code, da der Header-Wert auf der Kommandozeile übergeben wurde. Diese Lücke ist jedoch laut Wilhelm vergleichsweise unkritisch, denn das Management-Webinterface sollte grundsätzlich nur intern zugänglich sein.

Rechteverwaltung mittels Useraccounts lässt sich austricksen

Ein weiteres Problem fand sich in einem Feature namens User-ID. Die Palo-Alto-Appliance ermöglicht es hier, bestimmte Netzwerkberechtigungen auf Basis eines Useraccounts zu vergeben. Dafür muss das Gerät wissen, welche User gerade welche IP besitzen. Weiß das Gerät aktuell nicht, welcher User zu einer IP gehört, wird dies über ein NetBIOS-Request abgefragt. Offenbar lässt sich diese Antwort relativ einfach fälschen. Details dazu wollte Wilhelm jedoch noch nicht verraten, da das Problem offenbar noch nicht vollständig von Palo Alto Networks behoben wurde. Generell empfahl er aber Nutzern entsprechender Geräte, das Feature zum automatischen Zuweisen von IPs zu Benutzern zu deaktivieren.

Das User-ID-Feature hat offenbar in der Vergangenheit schon zu unerwarteten Nebenwirkungen geführt. HD Moore von der Firma Rapid 7 hatte 2014 in einem Blogeintrag geschrieben, dass nach einem Internet-weiten Scan unerwartet viele NetBIOS-Pakete den Scan-Server erreichten. Offenbar gab es einige derartige Palo-Alto-Geräte, die fehlerhaft konfiguriert waren und das User-ID-Feature für das gesamte öffentliche Internet umzusetzen versuchten.

Alle bisher beschriebenen Angriffe betreffen nur das lokale Netz. Ein weiteres Feature der Palo-Alto-Appliances ist ein VPN-Zugriff, für den es ein öffentliches Webinterface gibt. Hier fand Wilhelm zunächst heraus, dass die dort verwendeten Cookies mit einem Passwort verschlüsselt sind, das auf den Defaultwert "p1a2l3o4a5l6t7o8" gesetzt ist. Wenn man das Passwort nicht ändert, kann ein Angreifer die Werte von Cookies nachvollziehen. Palo Alto Networks will daran nichts ändern und sieht es nicht als Sicherheitsproblem, da es in der Dokumentation beschrieben sei. Wer entsprechende Geräte einsetzt, sollte also unbedingt das Default-Passwort ändern.

Buffer Overflow im Login-Interface

Für einen Angreifer, der keine Zugangsdaten besitzt, bietet sich nur das Login-Interface als Angriffsfläche an. Das Webinterface läuft auf einem Server namens Appweb, der wiederum PHP verwendet. Im Login-Interface fand Wilhelm einen eher ungewöhnlichen Buffer Overflow: Der Benutzername wird in einem 1.024 Byte großen Speicherbereich abgelegt. Vorher wird mit einer Funktion namens "escapeStringForXml" die Eingabe geprüft.

Normalerweise werden Strings, die länger als 1.024 Byte sind, an dieser Stelle verworfen. Doch wenn man einen String verwendet, der ausschließlich aus gültigen Multibyte-UTF-8-Zeichen besteht, wird der Längencheck übersprungen. Damit lässt sich also ein Buffer Overflow erzeugen, allerdings mit sehr eingeschränkten Eingabedaten. Die möglichen Eingabezeichen lassen sich jedoch erweitern, wenn der Benutzername ein @ enthält. Dann lassen sich im Lokalteil UTF-8-Zeichen und im Domain-Teil ASCII-Zeichen verwenden.

Das System nutzt keine Position Independent Executables und hat damit nur eine eingeschränkte Speicherrandomisierung. Außerdem kommen keine Stack Canaries zum Einsatz. Doch der Cavium-Prozessor besitzt - für MIPS-Systeme relativ ungewöhnlich - eine Funktion namens "Execute Inhibitor", die vergleichbar mit DEP auf X86-Systemen ist und die dafür sorgt, dass der Stack in nicht ausführbaren Speicherbereichen liegt. Mittels eines Exploits, der Heap Spraying und Return Orientend Programming einsetzt, gelang es Wilhelm, trotz des sehr eingeschränkten Buffer Overflows Code auf dem Gerät auszuführen.

Das Webinterface wurde mit den Rechten des Nutzers "nobody" betrieben, somit ermöglichte auch dieser Exploit keine direkte Übernahme des gesamten Systems. Doch hierfür fand Wilhelm eine weitere Lücke, die er allerdings nur grob umriss, da sie wohl noch nicht gepatcht wurde. Sie befindet sich offenbar in einem Parser und ermöglicht das einfügen von Shell-Befehlen.

Für Palo Alto Networks hatte Wilhelm am Ende auch lobende Worte übrig. Die Firma habe ein großes Interesse an den Fehlerberichten gezeigt und sei offenbar bemüht, die Lücken zu schließen. Ähnlichen Ärger wie mit Fireeye hatte es demnach offenbar nicht gegeben.


eye home zur Startseite
Tuxianer 19. Mär 2016

Golem berichtete: @Golem: Funktioniert das nur, wenn man direkt mit dem Gerät verbunden...

Neuro-Chef 18. Mär 2016

Genau wie die Konkurrenz - Ich glaube jetzt waren innerhalb eines Jahres alle üblichen...



Anzeige

Stellenmarkt
  1. Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen
  2. Landeshauptstadt München, München
  3. medac GmbH, Wedel bei Hamburg
  4. Samvardhana Motherson Innovative Autosystems B.V. & Co. KG., Michelau


Anzeige
Top-Angebote
  1. 2.999,00€ (Vergleichspreis ab 3.895€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  2. Deep Learning

    Wenn die KI besser prügelt als Menschen

  3. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  4. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  5. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  6. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  7. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  8. Trappist-1

    Der Zwerg und die sieben Planeten

  9. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt

  10. Server

    IBM stellt Komplettsystem für kleine Unternehmen vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Schönes altes SNES im Video

    Dark Samurai | 17:09

  2. Re: Switch

    JackIsBlack | 17:09

  3. Re: Gehashte Passwörter generell unsicher

    Schrödinger's... | 17:07

  4. Re: Kann man die Konsole nicht in beide...

    incoherent | 17:07

  5. Re: für Git wenig relevant

    Proctrap | 17:07


  1. 17:26

  2. 16:41

  3. 16:28

  4. 15:45

  5. 15:26

  6. 15:13

  7. 15:04

  8. 14:19


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel