fevereiro 07, 2013

[Segurança] Backdoor em produto de segurança. WTF!?

Acredito que muita gente acabou nas fogueiras da Santa Inquisição por muito menos do que isso... Enfim... Há poucos dias atrás, a Barracuda Networks divulgou uma vulnerabilidade descoberta por um grupo de pesquisadores da SEC Consult Vulnerability Lab, que encontrou uma backdoor em alguns dos principais produtos de redes e segurança da Barracuda: Barracuda Spam Firewall and Vírus, Web Filter, Message Archiver, Web Application Firewall, Link Balancer, Load Balancer, e appliances VPN SSL. Na verdade, é mais fácil listar os produtos não afetados do que os que apresentaram esta pequena "feature indesejada" (todos os appliances foram afetados, exceto o Barracuda Backup Server, Barracuda Firewall, e Barracuda NG Firewall).

Backdoor é um pequeno "truque" que o desenvolvedor de um software coloca para permitir que ele tenha acesso ao seu programa a qualquer momento, normalmente passando os controles tradicionais de acesso ao sistema. Normalmente, também, o backdoor é de conhecimento somente da empresa que desenvolveu o software, e não é documentado nem informado ao usuário final. Backdoors já foram muito comuns e populares nos primórdios da indústria de TI, pois permitiam que os desenvolvedores debugassem e corrigissem seus programas mais rapidamente. Não é a tôa que um backdoor é citado no filme War Games, de 1983: o personagem do então jovem Matthew Broderick descobre um backdoor no super computador do NORAD, o centro de monitoramento do exército americano, e consegue controlar o computador através deste backdoor - no caso, uma senha que correspondia ao nome do filho falecido do principal desenvolvedor, e que dava acesso total ao sistema. O vídeo abaixo mostra um trecho do filme aonde explicam para o jovem Matthew Broderick o que é um backdoor:



Mas eis que, quase 30 anos depois, a ficção torna realidade...

Neste caso, os pesquisadores descobriram que os appliances da Barracuda podem ser acessados remotamente via SSH e com uma conta de usuário não-privilegiada disponível nos equipamentos, que os tornam acessíveis a partir de um pequeno conjunto de endereços IP pré-definidos. O sistema operacional dos appliances tem várias contas de usuário, algumas das quais com senhas fracas, que podem ser descobertas rapidamente e com o uso de um pequeno dicionário. Segundo o relatório, uma destas contas, "product", permite acesso remoto ao equipamento a partir de um conjunto de IPs pré-definidos, e através dela é possível também acessar a base de dados interna, MySQL, que roda sob usuário root, sem senha de acesso. Com o acesso a base de dados, é possível, entre outras coisas, adicionar novos usuários com acesso privilegiado ao sistema. Aparentemente o backdoor existe desde, pelo menos, 2003.

A Barracuda lançou uma atualização de seus equipamentos, mas aparentemente recusou-se a retirar algumas destas contas (root, cluster e remote), o que continua permitindo o acesso remoto se o atacante descobrir a senha de acesso do usuário root (os demais usuários tem controle de acesso via uso de chaves públicas e privadas).

O grande problema, na minha humilde opinião, é a questão de credibilidade do fabricante, uma vez que é deveras inconveniente descobrir um backdoor em produtos de segurança - ou seja, o produto que deveria proteger a sua empresa tem uma função escondida que permite que pessoas de fora acessem o equipamento sem o seu conhecimento. Para piorar mais ainda, a Barracuda insistiu em manter o backdoor que dá direito ao acesso remoto, apenas aplicando algumas correções para  torná-lo menos vulnerável.

Para saber mais:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.