{"id":10917,"date":"2023-08-26T16:49:09","date_gmt":"2023-08-26T14:49:09","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=10917"},"modified":"2024-12-30T23:20:48","modified_gmt":"2024-12-30T21:20:48","slug":"barracuda-sicherheits-appliances-sind-so-unsicher-dass-nur-noch-neu-kaufen-hilft","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/barracuda-sicherheits-appliances-sind-so-unsicher-dass-nur-noch-neu-kaufen-hilft\/","title":{"rendered":"Barracuda Sicherheits-Appliances sind so unsicher, dass nur noch neu kaufen hilft"},"content":{"rendered":"

Ein Hersteller von Sicherheitsl\u00f6sungen baut einen trivialen Fehler in ihre Appliance ein, der zu einer schweren Sicherheitsl\u00fccke f\u00fchrt, wodurch Kunden \u00fcber Monate hinweg systematisch angegriffen werden – erst dann f\u00e4llt die Angriffswelle auf. Tage sp\u00e4ter kapituliert er und empfiehlt Kunden, die betroffenen Produkte abzuschalten und auszutauschen. Das klingt nach dem Drehbuch f\u00fcr einen schlechten Hacker-Film? Vor wenigen Wochen wurde dies als Realit\u00e4t bekannt, wie dieser Beitrag zeigt.<\/p>\n

Es fing mit einer Sicherheitsl\u00fccke in ihrer Appliance an<\/h2>\n

Am 18. Mai 2023 wurde Barracuda, der sich selbst als Anbieter von „Sicherheitsl\u00f6sungen f\u00fcr Unternehmen und MSPs“ beschreibt, auf ungew\u00f6hnlichen Datenverkehr aufmerksam gemacht, der von ihren Email Security Gateway Appliance<\/a> (ESG) ausging. Also eine Kombination von Hardware und Software, die der Kunde in der Regel bei sich betreibt (neuerdings teils auch als Dienst verf\u00fcgbar, also Cloud<\/em>), aber wenig bis keinen Einfluss auf die Software hat. In diesem Falle soll die ESG eingehende E-Mails auf Schadsoftware pr\u00fcfen und damit die Sicherheit erh\u00f6hen. Laut eigenen Angaben z\u00e4hlen \u00fcber 200.000 Organisationen zu den Kunden von Barracuda<\/a> – darunter auch Gro\u00dfkonzerne wie beispielsweise Samsung oder Mitsubishi.<\/p>\n

Am 19. Mai 2023<\/a> bemerkte das Unternehmen, dass ihre Produkte bei den Kunden \u00fcber eine Zero-Day Schwachstelle erfolgreich angegriffen wurden: CVE-2023-2868<\/a>. Durch einen Fehler besitzt die Appliance selbst eine Sicherheitsl\u00fccke, f\u00fcr die es zum damaligen Zeitpunkt keine Aktualisierung gab. Um so wichtiger ist daher eine schnelle Reaktion, damit die Kunden der Schwachstelle so kurz wie m\u00f6glich schutzlos ausgeliefert sind. Das gelang dem Hersteller auch, am darauffolgenden 20.05.2023 stand ein Sicherheitsupdate bereit. Wenige Tage sp\u00e4ter wurden Details ver\u00f6ffentlicht, \u00fcber die Medien wie etwa heise online<\/a> berichteten.<\/p>\n

Simple Sicherheitsl\u00fccke auf Anf\u00e4nger-Niveau<\/h2>\n

Ab hier ging es jedoch bergab. Die Sicherheitsl\u00fccke selbst ist schon ein Totalschaden<\/a>: Barracuda lie\u00dft die in .tar-Archiven enthaltenen Dateinamen aus und baut sie per Perl (qx Operator) direkt in einen Shell-Aufruf ein – v\u00f6llig ungefiltert. Den gew\u00fcnschten Code in den Dateiname schreiben, daraus ein Archiv erstellen und per E-Mail an einen Barracuda-Kunde senden, schon f\u00fchrt die Sicherheitsl\u00f6sung fremden Code aus. Ein typischer Anf\u00e4ngerfehler: Seit Jahrzehnten gilt der Grundsatz, dass alle von au\u00dfen stammenden Daten maskiert werden m\u00fcssen<\/a>, bevor sie in dynamisch erzeugten Befehlen oder Abfragen eingebaut werden. F\u00fcr einen durchschnittlichen Entwickler w\u00e4re das peinlich. Aber f\u00fcr ein Unternehmen, das Sicherheitsl\u00f6sungen verkauft und sie mit umfassender Sicherheit bewirbt? Autsch… Einen Azubi w\u00fcrde man sicherlich durch die Pr\u00fcfung fallen lassen, mit dem Rat, ihm einen anderen Beruf zu suchen, der ihm mehr liegt.<\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

Immerhin hat der Hersteller seinen Fehler schnell korrigiert, also mit einem blauen Auge grade noch mal am GAU vorbei? Nun, es geht noch weiter. Die offizielle Erkl\u00e4rung wurde offensichtlich von einem PR-Experten verfasst, der m\u00f6glichst viel redet, aber wenig sagt. <\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

Am 30. Mai 2023 brachten sie an anderer Stelle endlich einen ausf\u00fchrlichen Beitrag<\/a>, der auf die technischen Details eingeht, statt mit Ihre Sicherheit ist uns super wichtig, wir k\u00fcmmern uns 25\/7<\/em> Floskeln um sich zu werfen. Dieser Beitrag liefert Inhalt und zeigt das wirkliche Ausma\u00df auf.<\/p>\n

Die Schwachstelle wurde seit mindestens 7 Monaten aktiv ausgenutzt<\/h2>\n

Darin sieht man, was konkret gemacht wurde: Das zweite Update vom 21.05.2023 scheint ein Skript zu sein, das Schadensbegrenzung betreibt. Sie haben n\u00e4mlich gemerkt, dass diese Zero-Day L\u00fccke nur f\u00fcr sie unbekannt war – verschiedenste Angreifer verwendeten sie bereits seit l\u00e4ngerem, um gezielt Barracuda-Kunden zu kompromittieren. Konkret wurden drei bekannte Schadsoftware-Arten<\/a> entdeckt: SALTWATER<\/strong>, SEASPY<\/strong> und SEASIDE<\/strong>. Bei allen dreien handelt es sich um Hintert\u00fcren (Backdoors), womit die Angreifer jederzeit Programmcode aus der Ferne ausf\u00fchren konnten. SALTWATER<\/strong> und SEASIDE<\/strong> nisteten sich im Barracuda SMTP Daemon ein, d.H. er manipulierte ein offizielles Programm des Herstellers. \u00dcber SEASIDE wurden SMTP-Befehle genutzt, um damit der Angreifer eigenen Schadcode ausf\u00fchren kann. Alle tarnten sich als Bestandteile der Barracuda-Appliances.<\/p>\n

Die erste bekannte Ausnutzung von CVE-2023-2868 stammt von Oktober 2022. Barracuda gibt kein genaueres Datum an, laut einer Analyse von Mandiant<\/a> war es der 10. Oktober 2022. Mindestens 7 Monate, in denen Angreifer auf den Systemen in den Netzwerken der Kunden Zugriff hatten. Wie viel Schaden man in der Zeit anrichten kann, muss ich wohl nicht ausf\u00fchren. Selbst ein wenig versierter Angreifer kann in der Zeit gem\u00fctlich lernen, wie er dem Barracuda-Kunde am effektivsten schaden kann. Der Hersteller hat hier also keinesfalls proaktiv reagiert, bevor Schaden entstehen konnte. Sondern kam bei Vollbrand mit dem Feuerl\u00f6scher. Die Betonung liegt auf mindestens<\/strong>. Es liegt in der Natur der Sache, dass b\u00f6swillige Hacker keine Web-Blogs dar\u00fcber f\u00fchren, wann sie welche unbekannten Schwachstellen einsetzen. Niemand wei\u00df, wie lange sie schon ausgenutzt wird, ohne dass es bemerkt wurde. Einzig der Hersteller k\u00f6nnte in seinem Code schauen, seit wann die Schwachstelle dort vorhanden ist. Ab dem Datum muss man das System als kompromittiert betrachten. Hat er aber nicht gemacht bzw. nicht ver\u00f6ffentlicht. Eine Antwort auf diese Frage k\u00f6nnte die Kundschaft verunsichern?<\/p>\n

Totalschaden: Bitte Stecker ziehen und weg damit!<\/h2>\n

Wie immer bei verseuchten Systemen ist das nat\u00fcrlich Roulette: Sind alle Angreifer so vorgegangen? Gibt es weitere Hintert\u00fcren, die sie nicht bemerkt haben? Das ist wie wenn ihr Informant seid und ihr findet eine Wanze im Besprechungszimmer: Nat\u00fcrlich k\u00f6nnt ihr die zerst\u00f6ren und euch sicher f\u00fchlen. Seid ihr es damit wirklich? Die Wahrscheinlichkeit ist hoch, dass der Angreifer als Plan B noch woanders welche versteckt hat. Barracuda selbst hat ja bereits drei bekannte Arten von Schadsoftware festgestellt. Wochen sp\u00e4ter entdeckte man eine Vierte<\/a>. Ob das alle sind oder es noch 5, 10 oder 100 weitere gibt? Wir wissen es nicht.<\/p>\n

Dem Hersteller wurde das mit der Zeit offensichtlich auch klar, allerdings erst Anfang Juni 2023. Nun r\u00e4t Barracuda zu drastischen Mitteln: Man solle alle Updates einspielen, ihre ESG Appliance nicht mehr verwenden und eine neue \u00fcber den Support bestellen<\/a>. Alle Zugangsdaten, die mit der ESG Appliance verbunden waren, m\u00fcssen ge\u00e4ndert werden. Au\u00dferdem sollen Kunden ihr Netzwerk auf Auff\u00e4lligkeiten beobachten. An anderer Stelle hatte das Unternehmen darauf hingewiesen, dass man sich um andere Ger\u00e4te um Netzwerk nicht k\u00fcmmere. Wenige Tage sp\u00e4ter wird nochmals klargestellt: Alle Appliances m\u00fcssen austauscht werden – auch jene mit dem aktuellen Update-Stand. <\/p>\n

Hochqualifizierte<\/em> Banditen waren das!!!111einself<\/h2>\n

Wer solche Erkl\u00e4rungen schon \u00f6fter gelesen hat, wird wissen: Egal wie schlimm der Hersteller versagt hat – kaum einer wird m\u00fcde zu betonen, wie schlimm die Lage war. Barracuda ist keine Ausnahme und beschreibt den Angreifer als (\u00fcbersetzt) aggressiv<\/em> und<\/em> hochqualifiziert<\/em>. Au\u00dferdem sehe man Verbindungen nach China, als ob das irgend etwas besser machen w\u00fcrde. Wie in der Schule fr\u00fcher: Mama, ich habe die 5 in Mathe nur, weil der Lehrer die Klassenarbeit so schwer gemacht hat, der \u00fcbertreibt es eh immer und mag mich nicht!<\/em><\/p>\n

Hier haben wir ein Paradebeispiel daf\u00fcr. Obwohl der Hersteller das kleine Einmaleins der g\u00e4ngigen Sicherheitsgrundlagen vernachl\u00e4ssigt hat, dieser Fehler lange Zeit nicht aufgefallen ist und die Ausnutzung relativ trivial war bei einem hohen Schadenspotenzial, tut man so, als h\u00e4tte jemand mit Quantencomputern und 500 Spezialisten Fort Knox geknackt.<\/p>\n

Fazit: Ein GAU mit Ansage<\/h2>\n

Es ist schon mehr als bitter, wenn ein Anf\u00e4ngerfehler \u00fcber mehrere Monate unentdeckt bleibt, bis sich die daraus entstandene Sicherheitsl\u00fccke zum GAU entwickelt. Noch dazu von einem Unternehmen, dass sich den Schutz der Kunden zum Existenzgrund macht. Was w\u00fcrdet ihr von einem Chirurgen halten, der eine wichtige Operation durchf\u00fchren soll, dabei euch einen Seitenschneider im Inneren des K\u00f6rpers einbaut und nachdem ihr deswegen fast gestorben seid kommt raus: Der hat sich nicht darum gek\u00fcmmert, dass er a) einen Skalpell nehmen sollte und b) der nach der OP nicht im K\u00f6rper bleibt? So jemanden w\u00fcrde ich nicht mal mehr ann\u00e4hernd in die N\u00e4he von mir lassen. Eben so hat Barracuda den letzten Rest an Vertrauen, den man in die propriet\u00e4re Software solch eines Unternehmens haben kann, verloren – und zwar verdient. <\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

Denen ist das n\u00e4mlich gar nicht so wichtig, ist ja euer Netzwerk und nicht ihres. Au\u00dfer ein paar Tage weniger guter Presse hat so was meist keine ernsten Konsequenzen. Wenn die Leute danach wieder kaufen als w\u00e4re nichts gewesen, war das m\u00f6glicherweise sogar billiger, als ernsthaft & nachhaltig in die Sicherheit der Produkte zu investieren. Das w\u00e4re jedoch dringend geboten. Erfahrungsgem\u00e4\u00df l\u00e4uft in solchen Unternehmen oft etwas grunds\u00e4tzliches schief, wenn derart gravierende M\u00e4ngel bekannt werden – der Fisch stinkt bekannterma\u00dfen vom Kopf. Microsoft ist ein bekanntes Beispiel daf\u00fcr<\/a>, wenngleich nicht das Einzige. So lange es keinen ernsten Anreiz gibt, wird sich daran auch nicht viel \u00e4ndern.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Ein Hersteller von Sicherheitsl\u00f6sungen baut einen trivialen Fehler in ihre Appliance ein, der zu einer schweren Sicherheitsl\u00fccke f\u00fchrt, wodurch Kunden \u00fcber Monate hinweg systematisch angegriffen werden – erst dann f\u00e4llt die Angriffswelle auf. Tage sp\u00e4ter kapituliert er und empfiehlt Kunden, die betroffenen Produkte abzuschalten und auszutauschen. Das klingt nach dem Drehbuch f\u00fcr einen schlechten Hacker-Film? …<\/p>\n","protected":false},"author":5,"featured_media":10936,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1110,85],"tags":[60],"class_list":["post-10917","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gesellschaftliches","category-sicherheit","tag-sicherheitsluecke"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/10917","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=10917"}],"version-history":[{"count":17,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/10917\/revisions"}],"predecessor-version":[{"id":14333,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/10917\/revisions\/14333"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/10936"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=10917"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=10917"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=10917"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}