Security-appliances van Barracuda Networks blijken backdoors te hebben die alleen open zouden moeten staan voor IP-adressen van het bedrijf zelf. Alleen kunnen ook kwaadwillenden er doodleuk gebruik van maken. Een Oostenrijkse beveiligingsonderzoeker ontdekte de administratieve accounts in november en Barracuda komt nu met een fix. Die het probleem niet volledig oplost.

Accountnaam 'product'

De beveiligingsonderzoeker waarschuwde dat appliances, zoals dozen voor het draaien van een VPN, firewall of spamfilter, kunnen worden bereikt via SSH door als gebruikersnaam 'product' in te vullen. Een wachtwoord is niet nodig. Daarmee is de MySQL-database van het apparaat te bereiken en kan een hacker nieuwe gebruikers toevoegen met adminrechten. In een vandaag uitgebrachte fix wordt de SSH-toegang beperkt tot twee accounts.

De update naar versie 2.0.5 van Security Definitions zorgt ervoor dat de standaardconfiguratie wordt aangepast zodat hackers nu niet meer eenvoudig kunnen inloggen op de netwerkapparatuur. Een cybersnoodaard zou eerst specifieke kennis over het systeem moeten verzamelen om de backdoor alsnog te kunnen misbruiken.

Nog steeds security-issues

De ontdekker van de backdoors vertelt beveiligingsdeskundige Brian Krebs dat deze patch geen volledige oplossing is. De range aan IP-adressen waarmee gebruikers kunnen inloggen op de machines is niet verder beperkt waardoor nog steeds andere bedrijven een verbinding kunnen opzetten met de netwerkapparatuur die bij andere firma's draait. Bovendien kan er nog altijd worden ingelogd op het admin-account zonder dat er een sleutel wordt vereist.

De backdoors naar netwerkapparatuur van Barracuda Networks bestaan waarschijnlijk al sinds 2003, of zelfs eerder. Krebs wijst op een forumthread op seclist.org waarin een systeembeheerder zijn beklag doet over hoe Barracuda op afstand diens firewall uitschakelde. “Ze hebben op afstand hardware uitgeschakeld die niet van hun is", aldus de systeembeheerder.

Update 25-01-2012: Nationaliteit onderzoeker aangepast.