Zu Beginn sei ausdrücklich gesagt: Es geht hier um die Einschätzung der aktuellen Gefahrenlage bei Securtity Hardware Appliances.
Und das dann bewertet bezogen auf die LCOS x86 Router.
Es geht also darum, herauszufinden, ob wir da grad ein Problem haben und dann letzendlich, wie das gefixt werden kann.
ich hab mal noch etwas weiter gesucht bzgl. des aktuellen Security Vorfalls bei den Barracuda ESGs.
Auffällig ist:
Betroffen sind nur HARDWARE Firewalls. Die virtuelle ESG ist nicht betroffen.
In einem alten Post von 2013 habe ich gefunden, das die Barracuda ESG damals ein MSI Board und eine Athlon CPU hatte.
Siehe
https://blog.wains.be/2013/2013-06-21-r ... -firewall/
Das Poblem tritt bei Barracuda bei EmailScannen von .tar Files auf. Der Email Scanner entpackt das tar file und eine Lücke im Baracuda SMTP deamon bsmtpd fürt dann Commandos mit Systemrechten aus.
Siehe
https://arstechnica.com/information-tec ... -8-months/
Jetzt wirds noch verückter:
Microsoft's security team has come across a malware family that uses Intel's Active Management Technology (AMT) Serial-over-LAN (SOL) interface as a file transfer tool.
Siehe:
https://www.bleepingcomputer.com/news/s ... firewalls/
Because of the way the Intel AMT SOL technology works, SOL traffic bypasses the local computer's networking stack, so local firewalls or security products won't be able to detect or block the malware while it's exfiltrating data from infected hosts.
Weiter im Text:
In the ME component stack, AMT provides a remote management feature for Intel vPro processors and chipsets. The AMT SOL is a Serial-over-Lan interface for the Intel AMT remote management feature that exposes a virtual serial interface via TCP.
Because this AMT SOL interface runs inside Intel ME, it is separate from the normal operating system, where firewalls and security products are provisioned to work.
Furthermore, because it runs inside Intel ME, the AMT SOL interface will remain up and functional even if the PC is turned off, but the computer is still physically connected to the network, allowing the Intel ME engine to send or receive data via TCP.
Das heißt für Geräte mit einer vPro fähigen CPU:
Wer es schafft, an das Serial-over-LAN (SOL) Interface zu kommen, kann dann Code in die Intel ME schleusen und der Traffic wird selbst von der auf dieser CPU laufenden Firewall Software nicht entdeckt.
Wir müssen allerdings begrifflich noch unterscheiden zwischen Intel AMT, das lässt sich per BIOS Setting disablen.
@rotwang: das ist vermutlich das, was Dir gesagt wurde, was der OEM Lieferant der Appliances disabled.
Die INTEL ME selbst ist da aber immernoch vorhanden und an. Aus ist nur das Seriell over LAN Interface.
Jetzt müssten wir noch wissen, welche CPUs und Mainboards eine Barracuda ESG hat und das besser einschätzen zu können.
Dann können wir die Lage für die LANCOM UFs beurteilen.
Ob ein auf x86 / Intel ME laufendes LCOS angreifbar ist ist schwer einzuschätzen. Da stimme ich @backslash zu.
Da hilft vielleicht die (leider) relativ gesehen geringe Verbreitung von LCOS.
Wobei es sich ja durch den vRouter auch perfekt analysieren lässt.
Und bezüglich des ISG-8000 habe ich auch die Aussage gehört, das da ein Hypervisor läuft auf dem dann LCOS läuft.
Da habe ich das Gefühl, die Antwort hängt davon ab, wen man fragt.
Dann gibt es noch die Aussage, das LCOS prinzipiell Single Thread Only ist.
Und das beim Multi Core LCOS (vRouter, ISG-5000, ISG-8000) genau ein weiterer Core genutzt wird und der dann für VPN.
Wie passt das jetzt zusammen und gibt ein Bild zur Beurteilung des Angriffsvectors?
Wie gesagt, ich will nur rausfinden, wie man bei einem LCOS Router mit x86 CPU zur ME kommen könnte.
AMT liefert das Seriell Over LAN Interface zur ME. Also letztendlich eine IP auf COM Port Umleitung.
Die wird dem x86 Hypervisor (wenn es den denn gibt) vermutlich zurn Verfügung stehen, da die COM Port Unterstützung im LCOS vorhanden ist.
Auch ein natives LCOS hat eine COM Port unterstützung. Also vermutlich sind die Module da, man müsste nur LCOS dazu bringen,
was ans SOL Interface zu schreiben. Und dazu muss ein Device definiert sein, ein Treiber muss da sein und AMT muss im BIOS an sein.
Alles zusammen ist schon ziemlich unwarscheinlich. Aber es ist vermutlich alles einschaltbar, wenn letzendliche ein OEM Board mit Standard UEFI und Intel CPU mit vPro genutzt wird. Dazu dann vielleicht noch ein Hypervisor, auf dem LCOS läuft.
Also richtig gut einschätzen lässt sich das ganze noch nicht.
Vor der Nutzung von IntenvPro (AMT/ME) für Angriffe wurde allerdings seit Jahren gewarnt.
Richtig ernst genommen haben das nur sehr wenige....
Ob der Barracuda Angriff die ME nutzte, wissen wir noch nicht. Es ist allerdings sehr naheliegend.
Interessant wäre da noch, genaueres über den erfolgreichen Angriff auf das Netzwerk des LANCOM Referenzkunden ATU zu erfahren.
Also ob da das LMC gemanagte Netzwerk korrumpiert war oder nur die Server bzw. wie die Angreifer ins Netz kamen..
Bezüglich aller LCOS Geräte , die keine x86 CPU haben, mache ich mir keine Sorgen.
Und die Atom C3558R im ISG-5000 bzw. WLC-2000 hat keine ME, ist also auch nicht für diesen Angrifsvector anfällig.
Bleibt noch die Frage, wie die Multicore (DualCore) Funktionalität des ISG-5000 realisiert wird.
Native oder mittels embedded Hypervisor.
Viele Grüße
ts
