ISG-5000/8000 / WLC-2000 x86 Platform UEFI

[tstimper]

Hi tsimper

Eine Bitte. Wenn Du meinen Start Post liest, findst Du den sachlich?
Wenn nicht, wie hättest Du es geschrieben?

es geht nicht um den Start Post, sondern um das was folgte, nachdem rotwang sich die Mühe gemacht hat, deine Fragen zu beantworten...

Danach war nur noch x86, kein UEFI - alles sch...!
Und dann noch bezogen auf den Barracuda-Angriff, obwohl bei dem ja klar ist, daß der rein gar nichts mit einem Router zu tun hat...
Hier hatte der Virenscanner ein massives Problem und darüber wurde das darunter liegende Linux angegriffen und darüber kam der Angreifer dann offenbar ins UEFI (obwohl das ja auch nur eine Vermutung ist)...

Gruß
Backslash

Hi Backslash,
wir wissen alle grad wirklich nicht viel über die erfolgreichen Angriffe.
Und von LANCOM sind die Linux Basierenden UF's sicher viel stärker gefährdet als die LCOS Geräte.

Ich würde es mal so sortieren:
1 ist niedrig, 5 ist hoch

• LANCOM LCOS Router ohne INTEL CPU ohne UEFI- Gefährdungsstufe 1

• LANCOM LCOS Router mit INTEL CPU ohne ME mit UEFI - Gefährdungsstufe 2

• LANCOM LCOS Router mit INTEL CPU mit ME - mit UEFI - Gefährdungsstufe 3

• LANCOM Debian Linux UF Firewall mit INTEL CPU ohne ME - mit UEFI - Gefährdungsstufe 4

• LANCOM Debian Linux UF Firewall mit INTEL CPU mit ME - mit UEFI - Gefährdungsstufe 5

Hier wäre es interessant zu wissen, wie LANCOM das sieht und welche Maßnahmen jeweils getroffen werden.
Dazu finde ich keine Infos.

Wie ist zum Beispiele die UEFI Update Strategie für alle Geräte, die ein UEFI haben?
Ist das Update auf dem laufenden OS heraus vorgesehen und erlaubt?
Das wäre ein wichtiger Baustein für einen erfolgreichen Angriff und sollte deshal abgeschaltet sein.
Ein UEFI Update wäre dann allerdings nur offline möglich.

Beim nativen LCOS mache ich mir da tatsächlich wenig Sorgen.
Spannend wird es beim LCOS, das auf der Appliance mit einem Hypervisor läuft.
Da kenne ich unterschiedliche Aussagen bzgl. der ISG-5000 und der ISG-8000.
Der eine sagt, da läuft ein Hypervisor und dann LCOS. der nächste sagt, da läuft ein angepastes VPN Only Multithreading LCOS.
Der Hypervisor wäre vermutlich ein QEMU oder KVM, das wiede rzu bewerten und zu pflegen wäre.

Und bei den UFs sehe ich das höchste Risiko, also ist dort auf jeden Fall notwendig, das es eine UEFI Update und Schutz Strategie gibt.

Vieleicht kann noch jemand mehre Klarheit in die Sache bringen.

Viele Grüße

ts

[rotwang]

Spannend wird es beim LCOS, das auf der Appliance mit einem Hypervisor läuft.
Da kenne ich unterschiedliche Aussagen bzgl. der ISG-5000 und der ISG-8000.
Der eine sagt, da läuft ein Hypervisor und dann LCOS. der nächste sagt, da läuft ein angepastes VPN Only Multithreading LCOS.
Der Hypervisor wäre vermutlich ein QEMU oder KVM, das wiede rzu bewerten und zu pflegen wäre.

Die Aussage, daß das LCOS auf einem ISG-5000/8000 "bare metal" auf der Hardware ohne einen dazwischen liegenden Hypervisor läuft, hast Du von einem LCOS-Entwickler bei LANCOM bekommen. Wenn Dir das als Aussage nicht reicht...

[tstimper]

Spannend wird es beim LCOS, das auf der Appliance mit einem Hypervisor läuft.
Da kenne ich unterschiedliche Aussagen bzgl. der ISG-5000 und der ISG-8000.
Der eine sagt, da läuft ein Hypervisor und dann LCOS. der nächste sagt, da läuft ein angepastes VPN Only Multithreading LCOS.
Der Hypervisor wäre vermutlich ein QEMU oder KVM, das wiede rzu bewerten und zu pflegen wäre.

Die Aussage, daß das LCOS auf einem ISG-5000/8000 "bare metal" auf der Hardware ohne einen dazwischen liegenden Hypervisor läuft, hast Du von einem LCOS-Entwickler bei LANCOM bekommen. Wenn Dir das als Aussage nicht reicht...

es war usrprünglich tatsächlich geplant auf dem ISG-8000 einfach einen VRouter unter einem Hypervisor laufen zu lassen - das wurde aber irgendwann aus Performancegründen aufgegeben. Auf dem ISG 8000 läuft ein natives LCOS, das direkt vom BIOS gebootet wird.

Was Backslash dazu geschrieben hat, hatte ich überlesen. Vielen Dank für den Hinweis.

Viele Grüße

ts

[GrandDixence]

Auch LANCOM-Routern auf ARM-Prozessorbasis sind von der Firmware-(Update-)Problematik betroffen. Auf einigen Hardwarekomponenten in den LANCOM-Produkten mit ARM-Prozessor/SoC läuft ein eigenständiges Linux-Betriebssystem. Diese Linux-Betriebssyteme werden per Firmware auf den Hardwarekomponenten bereit gestellt. Und führen ähnlich der Intel ME und dem UEFI-BIOS ein "Eigenleben".

Mir bekannt sind eigenständige Linux-Betriebssysteme auf folgenden Hardwarekomponenten:

- Mobilfunkkarten
fragen-zur-lancom-systems-routern-und-g ... ml#p112858

- Glasfasermodule (GPON)
fragen-zur-lancom-systems-routern-und-g ... ml#p113939

Ob diese per Firmware integrierten Linux-Betriebssysteme vom Hersteller (aus China, USA was auch immer) während mehreren Jahren mit Sicherheitsupdates versorgt werden, bezweifle ich schwer. Erfahrungsgemäss gibt es für die Mobilfunkkarten im LANCOM-Router höchstens 2 Jahre Sicherheitsupdates.

Ohne gesetzlichen Vorgaben werden diese Hersteller aus wirtschaftlichen Gründen nicht über längere Zeit Sicherheitsupdates bereit stellen. Siehe dazu:
feedback-lcos-release-update-betatest-f ... ml#p111430

LANCOM als deutscher Hersteller muss diese Hardwarekomponenten auf dem freien Markt einkaufen und ist deshalb abhängig von diesen Lieferanten (aus China, USA was auch immer) und deren Firmware inklusive Firmware-Update-Strategie.

Sich bei der Firmware-(Update-)Problematik nur auf UEFI und Intel ME einzuschiessen, erachte ich als eine stark eingeschränkte Sichtweise.

Für UEFI basierte Systeme gibt es für das Firmware-Update das Verfahren "UEFI Capsules".
https://uefi.org/sites/default/files/re ... psules.pdf

Wenn "UEFI Capsules" korrekt mit ausschliesslich signierten Firmware-Updates realisiert wurde und der Firmware-Hersteller seinen Firmware-Update-Signierschlüssel ausschliesslich auf einem HSM (Hardware Security Module) (im Tresor) vorhält, sehe ich beim UEFI-Firmware-Update-Vorgang keine Sicherheitsprobleme.
fragen-zum-thema-vpn-f14/vpn-ikev2-mit- ... ml#p101137

https://de.wikipedia.org/wiki/Hardware-Sicherheitsmodul

In der Realität wandern aber solche Signierschlüsseln aus Bequemlichkeit gerne in Git-Repositories und werden aus Versehen in GitHub veröffentlicht...

Und das Firmware-Updates ausschliesslich über verschlüsselte Kommunikationskanäle veröffentlicht werden, sollte auch in der LANCOM-Welt klar sein (ftp.lancom.de)...

[plumpsack]

UEFI - TPM - Microsoft Pluton ...

Haha, das wird uns noch sowas von um die Ohren knallen ...

Microsoft und Sicherheit ...



Und von wegen ARM und/oder Linux wären nicht betroffen ...

Stecker ziehen oder 'ne vernünftige "zeitgesteuerte" Konfigaration wäre "evtl." noch annehmbar ...

[sixty]

Um das Thema mal etwas einzuordnen (auch das Ausgangsposting wurde ja ein Stück weit als "aggressiv" empfunden) - es geht hier noch nicht um ein "LANCOM - kümmert Euch!".

Nur laufen halt im Moment in ganz vielen Firmen Audits einerseits von Seiten der Wirtschaftsprüfer und andererseits der Versicherer.

Wenn das mit dem UEFI im Moment so ist, ist es halt so. Es muß dann nur in eine Risikobeurteilung mit einfließen und führt ggf. zu einem längerfristigen ToDo oder halt zu etwas höheren Versicherungsbeiträgen.

[tstimper]

Um das Thema mal etwas einzuordnen (auch das Ausgangsposting wurde ja ein Stück weit als "aggressiv" empfunden) - es geht hier noch nicht um ein "LANCOM - kümmert Euch!".

Nur laufen halt im Moment in ganz vielen Firmen Audits einerseits von Seiten der Wirtschaftsprüfer und andererseits der Versicherer.

Wenn das mit dem UEFI im Moment so ist, ist es halt so. Es muß dann nur in eine Risikobeurteilung mit einfließen und führt ggf. zu einem längerfristigen ToDo oder halt zu etwas höheren Versicherungsbeiträgen.

Hi Sixty,

Du sprichst mir aus der Seele…
Das UEFI / ME Problem haben alle Hersteller vom Security Appliances, die aktuelle x86 Hardware und ggfs. ME enthaltende Intel CPUs nutzen.

Wir haben ja bzgl. LANCOM schon herausgearbeitet, das der ISG-5000 zumindest kein ME hat und damit dieser Angriffsvector entfällt.

Und wenn wir die Barracuda Empfehlung zum Hardware Tausch infizierter Geräte sehen,
scheint sich dort ja was auf Hardware Ebene eingenistet zu haben.

Da fällt mir UEFI, die INTEL ME und wie hier ja auch
schon erwähnt, die embedded OS von VDSL Modem, GPON / AON, WLAN und 4G/ 5 G Karten usw. ein.

Das müssen wir alles betrachten.

Die Betrachtung hat mit LANCOM selbst gar nichts zu tun.
Das fordern Kunden und auch die Cyber Versicherungen.

Viele Grüße

ts

[plumpsack]

Das UEFI / ME Problem haben alle Hersteller vom Security Appliances, die aktuelle und ggfs. ME enthaltende Intel CPUs nutzen.

Wie kommst du auf die Beschränkung von "x86 Hardware " ?

So wie ich das gelesen hatte sind auch ARM betroffen ...

[tstimper]

Das UEFI / ME Problem haben alle Hersteller vom Security Appliances, die aktuelle und ggfs. ME enthaltende Intel CPUs nutzen.

Wie kommst du auf die Beschränkung von "x86 Hardware " ?

So wie ich das gelesen hatte sind auch ARM betroffen ...

Ja auch ARM Appliances sind betroffen.
LANCOM hat allerdings keine ARM basierenden Appliances.

Es sei denn eine ARM CPU ist in den Zusatz Komponenten enthalten, dazu habe ich keine Infos.

Viele Grüße

ts

[plumpsack]

Ja auch ARM Appliances sind betroffen.
LANCOM hat allerdings keine ARM basierenden Appliances.

Was benutzt denn so ein *883*-Router als CPU ?

[plumpsack]

Was benutzt denn so ein *883*-Router als CPU ?

Freescale P1014E ...

"Freescale" hatte mich irritiert.

Ist wohl gar kein ARM ?

[tstimper]

Was benutzt denn so ein *883*-Router als CPU ?

Freescale P1014E ...

"Freescale" hatte mich irritiert.

Ist wohl gar kein ARM ?

Siehe https://de.wikipedia.org/wiki/Liste_der ... e-Produkte

Die 883 884 haben Freescale P1014E 2.01, das sind lt. Wikipedia CPUs der Pxxxx Serie, also PowerPC CPUs.
Siehe auch https://de.wikipedia.org/wiki/QorIQ und https://en.wikichip.org/wiki/freescale/qoriq/p1014

Viele Grüße

ts