Abo
  • Services:
Anzeige
Sind Appliances von Fireeye ein Sicherheitsrisiko? Die Scan-Architektur scheint einige Mängel zu haben.
Sind Appliances von Fireeye ein Sicherheitsrisiko? Die Scan-Architektur scheint einige Mängel zu haben. (Bild: Fireeye)

Project Zero: Fireeye-Appliances lassen sich mittels Java-Datei übernehmen

Sind Appliances von Fireeye ein Sicherheitsrisiko? Die Scan-Architektur scheint einige Mängel zu haben.
Sind Appliances von Fireeye ein Sicherheitsrisiko? Die Scan-Architektur scheint einige Mängel zu haben. (Bild: Fireeye)

Eine schwerwiegende Sicherheitslücke in Fireeye-Geräten haben Mitglieder von Googles Project Zero aufgedeckt. Ein Parser für Java-Dateien führt Code aus, um Obfuscation-Techniken zu umgehen.

Erneut ist eine schwerwiegende Sicherheitslücke in Geräten der Firma Fireeye entdeckt worden. Natalie Silvanovich und Tavis Ormandy von Googles Project Zero beschreiben in einem Blogeintrag, wie sie mittels einer manipulierten Java-JAR-Datei die volle Kontrolle über eine Fireeye-Appliance erlangt haben. Die konkrete Sicherheitslücke wurde von Fireeye gefixt, doch die grundsätzliche Architektur der Fireeye-Malware-Scans scheint alles andere als sicher zu sein.

Anzeige

Fireeye-Geräte werden als Firewalls vor allem in großen Firmennetzwerken eingesetzt. Alle Daten, die zwischen dem Internet und dem lokalen Intranet ausgetauscht werden, werden durch die Fireeye-Geräte untersucht. Dateien, die via E-Mail oder über Webseiten übertragen werden, untersucht das Fireeye-Gerät mit verschiedenen Methoden. Eine Sicherheitslücke in diesen Scans lässt sich durch einen Angreifer sehr einfach ausnutzen. Er muss nur eine E-Mail mit einem Dateianhang an das jeweilige Opfer versenden. Gelingt es, die Kontrolle über die Geräte zu übernehmen, hat ein Angreifer Zugriff auf den gesamten externen Datenverkehr eines Unternehmens. Passwörter, aufgerufene Webseiten oder E-Mails - alles lässt sich anschließend mitlesen und auch manipulieren.

Zahlreiche Tools zur Dateianalyse

Übertragene Dateien werden in den Fireeye-Geräten von einer Komponente namens Malware Input Processor (MIP) analysiert. Dieser ruft je nach Dateityp verschiedene weitere Tools zur Analyse der Dateien auf. Die Google-Forscher erwähnen, dass für Apple-DMG-Dateien 7-Zip genutzt wird, PNG-Dateien werden mittels des zu Libpng gehörenden Tools pngcheck analysiert und Flash-Dateien mit einem Programm namens flasm dekompiliert.

Ein besonderes Augenmerk warfen die Google-Forscher jedoch auf die Analyse von Java-Dateien mit der Endung jar. Zunächst wird deren Signatur mit einem Tool namens jarsigner geprüft, anschließend werden die Dateien mittels eines Programms namens Jode weiter analysiert. Jode ist ein Java-Decompiler, die letzte Version wurde 2004 veröffentlicht. Der Quellcode ist unter der LGPL-Lizenz verfügbar.

Java-Decompiler führt Obfuscated-Code aus

Ormandy stellte fest, dass sich im Code von Jode eine Funktion befindet, die bestimmte Codeteile in den analysierten Java-Dateien mittels einer Java-VM ausführte. Der Grund dafür ist, dass Jode versucht, sogenannten Obfuscated-Code zu decodieren, also Codeteile, die absichtlich so geschrieben wurden, dass sie schlecht lesbar sind.

Es gelang den Google-Forschern nach einigem Experimentieren, selbst Code zu erzeugen, der von Jode in der Java-VM ausgeführt wurde. Dafür nutzten sie ein Programm namens Jasmin, ein Assembler für Java-Bytecode. Somit waren sie in der Lage, Java-Code innerhalb des Malware Input Processors auszuführen. Da sich auf den Maschinen eine Installation des Tools netcat befand, war es trivial, damit eine Remote-Shell zu öffnen. Den Jasmin-Code haben die Google-Forscher veröffentlicht.

Die Remote-Shell läuft mit den Rechten der Malware-Input-Processor-Komponente, damit ist ein Angreifer bereits in der Lage, einen Großteil des übertragenen Datenverkehrs zu analysieren. Doch Silvanovich und Ormandy gelang es auch, Root-Rechte auf den Fireeye-Geräten zu erlangen. Die Details dazu haben sie jedoch im Moment noch nicht bekanntgegeben. Fireeye hatte demnach darum gebeten, für die Lösung dieses Problems noch einige Zeit zu bekommen.

Die konkrete Sicherheitslücke beim Parsen der Java-Dateien wurde nun von Fireeye behoben. Laut Project Zero sind alle Geräte der NX-, FX-, AX-, und EX-Serie von Fireeye betroffen, die Version 427.334 der Fireeye-Firmware behebt das Problem. Fireeye selbst hat ebenfalls ein Security-Advisory herausgegeben.

Scan-Konzept generell sehr riskant

Doch auch wenn die aktuelle Sicherheitslücke kein Risiko mehr darstellt: Die Architektur der Fireeye-Geräte scheint insgesamt sehr riskant. Unterschiedliche Dateien werden mit zahlreichen Parsern analysiert, die oft selbst vermutlich nicht besonders sicher sind. Von den im Google-Blogeintrag erwähnten scheint insbesondere flasm ein Risiko zu sein. In einem Test fand der Autor dieses Artikels mittels Fuzzing innerhalb von Minuten zahlreiche Probleme, darunter unter anderem Stack Overflows.

Auf Twitter empörte sich der IT-Sicherheitsforscher Thomas Dulien, der auch unter dem Nickname Halvar Flake bekannt ist, über die Fireeye-Architektur und legt nahe, dass ein verantwortungsvoller IT-Sicherheitschef in einem Unternehmen die Fireeye-Geräte zur Zeit besser abschalten sollte.

Im September hatte bereits Felix Wilhelm von der Heidelberger Firma ERNW Sicherheitslücken im Malware Input Processor der Fireeye-Appliances aufgedeckt. Bemerkenswert sind die unterschiedlichen Reaktionen von Fireeye auf beide Vorfälle.

Einstweilige Verfügung gegen ERNW, schnelle Reaktion gegenüber Google

Laut Googles Project Zero hatte Fireeye auf die Berichte innerhalb sehr kurzer Zeit reagiert, bereits nach zwei Tagen stand ein Fix bereit. Im Fall von ERNW vergingen mehrere Wochen, bis Fireeye überhaupt auf die Meldung reagierte. In einem Gespräch mit Golem.de im September hatte Fireeye-CEO David DeWalt gesagt, dass Fireeye mit der Veröffentlichung von ERNW vor allem deswegen ein Problem hatte, weil Fireeye mehr Zeit benötigt hätte, um die Lücken zu beheben. Jedoch lagen zwischen der Meldung der Sicherheitslücke von ERNW an Fireeye und der geplanten öffentlichen Präsentation mehrere Monate.

Einen Teil der geplanten Veröffentlichung von ERNW hatte Fireeye mittels einer einstweiligen Verfügung verhindert. Dabei ging es nicht um die Lücke selbst, sondern um Erklärungen zur Architektur der Fireeye-Geräte.


eye home zur Startseite
Thurius 16. Dez 2015

Oder Sie müssen die Patches erst bei der NSA vorlegen!^^

Tuxianer 16. Dez 2015

Es mag eine Frage sein, mit welchen - potentiell selbst angreifbaren - Werkzeugen ein...



Anzeige

Stellenmarkt
  1. Rentschler Biotechnologie GmbH, Laupheim
  2. medavis GmbH, Karlsruhe
  3. AVL List GmbH, Graz (Österreich)
  4. FTI Touristik GmbH, München


Anzeige
Spiele-Angebote
  1. 8,99€
  2. 9,99€
  3. 13,49€

Folgen Sie uns
       


  1. PowerVR 9XE/9XM und PowerVR 2NX

    Imagination Technologies bringt eigenen AI-Beschleuniger

  2. Auslastung

    Wenn es Abend wird im Kabelnetz

  3. Milliarden-Deal

    Google kauft Smartphone-Teile von HTC

  4. MPEG

    H.265-Nachfolger kann 30 bis 60 Prozent Verbesserung bringen

  5. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  6. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  7. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  8. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land

  9. Liberty Global

    Unitymedia-Mutterkonzern hat Probleme mit Amazon

  10. 18 Milliarden Dollar

    Finanzinvestor Bain übernimmt Toshibas Speichergeschäft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  2. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht
  3. Deutsche Telekom Narrowband-IoT-Servicepakete ab 200 Euro

Mobilestudio Pro 16 im Test: Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
Mobilestudio Pro 16 im Test
Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  1. Wacom Vorschau auf Cintiq-Stift-Displays mit 32 und 24 Zoll

Play Austria: Die Kaffeehauskultur reicht bis in die Spielebranche
Play Austria
Die Kaffeehauskultur reicht bis in die Spielebranche
  1. Human Head Studios Nach 17 Jahren kommt die Fortsetzung für Rune
  2. Indiegames Erfahrungen mit der zufallsgenerierten Apokalypse
  3. Spielebranche Mikrotransaktionen boomen zulasten der Kaufspiele

  1. Re: "Vodafone sieht sich nicht betroffen"

    WalterWhite | 08:50

  2. Re: Und trotzdem wird auch das nach der Wahl...

    AngryFrog | 08:50

  3. Re: schade, aber

    anchedo | 08:48

  4. Re: Lawrows verzerrte Wahrheit

    daarkside | 08:47

  5. Re: Sputnik & Co

    css_profit | 08:45


  1. 09:00

  2. 08:00

  3. 07:10

  4. 07:00

  5. 18:10

  6. 17:45

  7. 17:17

  8. 16:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel