[ad_1]

Une variété des derniers pare-feu, filtres anti-spam et appareils VPN vendus par Campbell, basé en Californie. Réseaux Barracuda Inc. contiennent des comptes de porte dérobée non documentés, a révélé la société aujourd’hui. Pire encore, alors que les comptes de porte dérobée sont apparemment configurés pour n’être accessibles qu’à partir d’adresses Internet attribuées à Barracuda, ils sont en fait accessibles à potentiellement des centaines d’autres sociétés et propriétaires de réseaux.

barracudaLes périphériques matériels de Barracuda sont largement déployés dans les environnements d’entreprise, notamment le filtre Web Barracuda, l’archiveur de messages, le pare-feu d’application Web, l’équilibreur de liens et le VPN SSL.. Stefan Viehböckchercheur en sécurité à Vienne, en Autriche SEC Consult Vulnerability Lab., découvert en novembre 2012, que ces appareils comprenaient tous des comptes de système d’exploitation non documentés qui pouvaient être utilisés pour accéder à distance aux appareils via Internet via un shell sécurisé (SSH).

Viehböck a découvert que le nom d’utilisateur « produit » pouvait être utilisé pour se connecter et accéder à la base de données MySQL de l’appareil (root@localhost) sans mot de passe, ce qui, selon lui, permettrait à un attaquant d’ajouter de nouveaux utilisateurs avec des privilèges administratifs aux appliances. SEC Consult a trouvé un fichier de mots de passe contenant un certain nombre d’autres comptes et des mots de passe hachés, dont certains n’étaient pas compliqués et pouvaient être déchiffrés avec peu d’effort.

Viehböck a déclaré qu’il avait rapidement découvert que ces appareils étaient tous configurés prêts à l’emploi pour écouter les connexions SSH entrantes sur ces comptes non documentés, mais que les appareils étaient configurés pour accepter les tentatives de connexion uniquement à partir des plages d’adresses Internet occupées par Barracuda Networks. Malheureusement, Barracuda n’est pas le seul occupant de ces gammes. En effet, un recherche rapide du plages d’adresses sur le site de cartographie du réseau Robtex.com montre qu’il existe potentiellement des centaines d’autres entreprises qui exploitent des sites Web et d’autres opérations en ligne dans le même espace.

Barracuda Networks n’a pas encore répondu aux demandes de commentaires. Cependant, ce matin, la société a publié une série d’avis reconnaissant ces vulnérabilités et d’autres, signalant les failles de la porte dérobée comme des menaces « moyennes ». Le correctif de la société comprend la restriction de la configuration SSH à distance à deux comptes et l’obligation pour ces comptes d’utiliser une paire de clés de cryptage publique/privée. Mais selon SEC Consult, le correctif de Barracuda autorise toujours les connexions SSH à distance via le compte « root » sans nécessiter d’échange de clé de cryptage, et le correctif ne fait rien pour restreindre davantage la plage d’adresses Internet pouvant être utilisées pour accéder aux comptes de porte dérobée. SEC Consult a déclaré que Barracuda avait répondu que les comptes restants étaient vitaux pour le support client.

« Dans les environnements sécurisés, il est hautement indésirable d’utiliser des appliances avec des portes dérobées intégrées », a écrit Viehböck dans l’avis de SEC Consult. « Même si seul le fabricant peut y accéder. »

Barracuda a également publié des mises à jour pour corriger une grave vulnérabilité dans le produit SSL VPN de la société que SEC Consult a découvert pourrait permettre à un attaquant non authentifié de télécharger des fichiers de configuration et des vidages de base de données, et permettre l’arrêt du système et la définition de nouveaux mots de passe administratifs sans authentification préalable.

On ne sait pas depuis combien de temps les comptes de porte dérobée existent dans les produits de Barracuda, mais les chercheurs ont trouvé des preuves qu’ils étaient en place depuis au moins 2003. En outre, ce fil sur la liste de diffusion de sécurité Full Disclosure inclut une discussion intéressante sur la façon dont ces comptes de porte dérobée ont pu être utilisés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *