Firewall-Hersteller patcht kritischen Auth-Bypass-Fehler

Cyber Security News

Das Cybersecurity-Unternehmen Genua behebt eine kritische Schwachstelle in seiner GenuGate High Resistance Firewall, die es Angreifern ermöglicht, sich als Root-Benutzer einzuloggen.

Das in Deutschland ansässige Cybersecurity-Unternehmen Genua hat eine kritische Schwachstelle in einem seiner Firewall-Produkte im Schnellverfahren behoben. Wenn die Schwachstelle ausgenutzt wird, könnte es lokalen Angreifern möglich sein, Authentifizierungsmaßnahmen zu umgehen und sich mit den höchsten Privilegien in interne Unternehmensnetzwerke einzuloggen.

Genua bietet nach eigenen Angaben mehr als 20 Sicherheitslösungen für die Verschlüsselung der Datenkommunikation über das Internet, die Fernwartung von Systemen, den sicheren Zugriff auf entfernte Daten und mehr – eingesetzt von Unternehmen mit kritischer Infrastruktur bis hin zu deutschen Bundesbehörden. Von den kritischen Schwachstellen betroffen ist die GenuGate High Resistance Firewall, die Genua als zweistufige Firewall anpreist, die ein Application-Level-Gateway und einen Paketfilter zum Blockieren bösartiger Daten enthält.

“Ein nicht authentifizierter Angreifer ist in der Lage, sich erfolgreich als beliebiger Benutzer im Admin-Webinterface, im Seitenkanal-Interface und im Benutzer-Webinterface anzumelden, sogar als root mit höchsten Privilegien, indem er bestimmte HTTP-POST-Parameter während des Logins manipuliert”, so die Sicherheits- und Anwendungsberatungsfirma SEC Consult am Montag.

Genua GenuGate High Resistance Firewall

Die GenuGate High Resistance Firewall sperrt laut Genua interne Netzwerke gegen unbefugte Zugriffe und strukturiert ein Intranet, um verschiedene Domänen mit unterschiedlichen Schutzmaßnahmen einzurichten.

Laut Genua ist GenuGate als “NATO Restricted” klassifiziert. NATO ist eine Sicherheitsklassifizierung für eingeschränkte Informationen der North Atlantic Treaty Organization. Sie erfordert, dass bestimmte Produkte Sicherheitsvorkehrungen und Schutz vor öffentlicher Freigabe und Offenlegung enthalten. Laut Genua:

“Die High Resistance Firewall genugate erfüllt höchste Anforderungen: zwei unterschiedliche Firewall-Systeme – ein Application Level Gateway und ein Paketfilter, jeweils auf separater Hardware – werden zu einer kompakten Lösung kombiniert. genugate ist für die Klassifizierungsstufen German und NATO RESTRICTED und RESTREINT UE/EU RESTRICTED zugelassen. genugate ist nach CC EAL 4+ zertifiziert”

Zu den verwundbaren Versionen der Firewall gehören GenuGate-Versionen unter 10.1 p4; unter 9.6 p7 und Versionen 9.0 und unter Z p19. Die Schwachstelle wurde in den GenuGate-Versionen 10.1 p4 (G1010_004); 9.6 p7 (G960_007); 9.0 und 9.0 Z p19 (G900_019) behoben.

“Der Hersteller stellt eine gepatchte Version für die betroffenen Produkte zur Verfügung, die sofort installiert werden sollte”, so SEC Consult. “Kunden sollten außerdem bewährte Sicherheitspraktiken wie Netzwerksegmentierung und Beschränkung des Zugriffs auf das Admin-Panel einhalten. Dies ist auch eine Anforderung für zertifizierte und genehmigte Umgebungen.”

Kritischer GenuGate Firewall Cybersecurity Flaw

Die kritische Authentifizierungs-Bypass-Schwachstelle (CVE-2021-27215) rührt von den verschiedenen Admin-Authentifizierungsmethoden der GenuGate her. Das Admin-Web-Interface, das Sidechannel-Web und das User-Web-Interface verwenden unterschiedliche Methoden zur Authentifizierung von Benutzern.

Während des Anmeldevorgangs werden jedoch bestimmte HTTP-POST-Parameter an den Server übergeben, der die angegebenen Daten nicht überprüft und jede beliebige Authentifizierungsanfrage zulässt.

Durch Manipulation einer bestimmten Parametermethode wäre ein Angreifer in der Lage, die Authentifizierung einfach zu umgehen und sich als beliebiger Benutzer anzumelden. Das könnte das Einloggen als Root-Benutzer mit den höchsten Privilegien (oder sogar als nicht existierender Benutzer) beinhalten, so die Forscher von SEC Consult.

Die Forscher von SEC Consult haben einen High-Level-Proof-of-Concept (PoC)-Exploit veröffentlicht, einschließlich eines Videos (siehe unten). Aufgrund der kritischen Natur des Fehlers verzichteten die Forscher jedoch darauf, spezifische PoC-Details zu veröffentlichen.

Es gibt einen Vorbehalt. Um die Schwachstelle ausnutzen zu können, müsste ein Angreifer zunächst Netzwerkzugriff auf die Admin-Oberfläche haben.

“Zertifizierte und zugelassene Umgebungen schreiben vor, dass das Admin-Interface nur über ein streng getrenntes Netzwerk erreichbar ist”, so SEC Consult. “Dennoch handelt es sich um eine hochkritische Sicherheitslücke, die umgehend gepatcht werden muss.”

Cybersecurity Firewall Schwachstellen und deren Behebung

Forscher kontaktierten Genua am 29. Januar bezüglich der Sicherheitslücke. Noch am selben Tag bestätigte Genua das Problem und begann mit der Arbeit an einem Patch – und veröffentlichte am 2. Februar einen Patch für das betroffene Produkt. Die öffentliche Bekanntgabe der Schwachstelle (in Abstimmung mit CERT-Bund und CERT) wurde am Montag veröffentlicht. SEC Consult sagte, dass der Patch in der GenuGate GUI oder durch den Aufruf von “getpatches” auf der Kommandozeilenschnittstelle heruntergeladen werden kann.

Firewall-Schwachstellen bieten Angreifern einen gefährlichen Weg, um in sensible Unternehmensnetzwerke einzudringen.

Im Januar warnten Sicherheitsexperten, dass Hacker verstärkt versuchen, eine hochgradig gefährliche Schwachstelle auszunutzen, die sich möglicherweise noch in über 100.000 Produkten von Zyxel Communications befindet, die in der Regel von kleinen Unternehmen als Firewalls und VPN-Gateways eingesetzt werden. Im April begannen Angreifer damit, die Sophos XG Firewall (sowohl physische als auch virtuelle Versionen) mit einem Zero-Day-Exploit ins Visier zu nehmen, mit dem Ziel, die Asnarok-Malware auf verwundbaren Appliances abzulegen.

Genua hat auf eine Anfrage zur Stellungnahme nicht reagiert.

Einige Teile dieses Artikels stammen aus:
threatpost.com