Backdoor é um pequeno "truque" que o desenvolvedor de um software coloca para permitir que ele tenha acesso ao seu programa a qualquer momento, normalmente passando os controles tradicionais de acesso ao sistema. Normalmente, também, o backdoor é de conhecimento somente da empresa que desenvolveu o software, e não é documentado nem informado ao usuário final. Backdoors já foram muito comuns e populares nos primórdios da indústria de TI, pois permitiam que os desenvolvedores debugassem e corrigissem seus programas mais rapidamente. Não é a tôa que um backdoor é citado no filme War Games, de 1983: o personagem do então jovem Matthew Broderick descobre um backdoor no super computador do NORAD, o centro de monitoramento do exército americano, e consegue controlar o computador através deste backdoor - no caso, uma senha que correspondia ao nome do filho falecido do principal desenvolvedor, e que dava acesso total ao sistema. O vídeo abaixo mostra um trecho do filme aonde explicam para o jovem Matthew Broderick o que é um backdoor:
Mas eis que, quase 30 anos depois, a ficção torna realidade...
Neste caso, os pesquisadores descobriram que os appliances da Barracuda podem ser acessados remotamente via SSH e com uma conta de usuário não-privilegiada disponível nos equipamentos, que os tornam acessíveis a partir de um pequeno conjunto de endereços IP pré-definidos. O sistema operacional dos appliances tem várias contas de usuário, algumas das quais com senhas fracas, que podem ser descobertas rapidamente e com o uso de um pequeno dicionário. Segundo o relatório, uma destas contas, "product", permite acesso remoto ao equipamento a partir de um conjunto de IPs pré-definidos, e através dela é possível também acessar a base de dados interna, MySQL, que roda sob usuário root, sem senha de acesso. Com o acesso a base de dados, é possível, entre outras coisas, adicionar novos usuários com acesso privilegiado ao sistema. Aparentemente o backdoor existe desde, pelo menos, 2003.
A Barracuda lançou uma atualização de seus equipamentos, mas aparentemente recusou-se a retirar algumas destas contas (root, cluster e remote), o que continua permitindo o acesso remoto se o atacante descobrir a senha de acesso do usuário root (os demais usuários tem controle de acesso via uso de chaves públicas e privadas).
O grande problema, na minha humilde opinião, é a questão de credibilidade do fabricante, uma vez que é deveras inconveniente descobrir um backdoor em produtos de segurança - ou seja, o produto que deveria proteger a sua empresa tem uma função escondida que permite que pessoas de fora acessem o equipamento sem o seu conhecimento. Para piorar mais ainda, a Barracuda insistiu em manter o backdoor que dá direito ao acesso remoto, apenas aplicando algumas correções para torná-lo menos vulnerável.
Para saber mais:
- Página de alertas da Barracuda
- Advisory do SEC Consult Vulnerability Lab
- Reportagem do site ARS Technica
- Post curto no Diário do SANS ISC
- Post no Blog Coruja de TI
Nenhum comentário:
Postar um comentário