Eine komplette Linux-Firewall in Form eines USB-Sticks: Der Yoggie Gatekeeper Pico (Version 1.3.8) zeigte im Linux-Magazin-Test eine dicke Sicherheitslücke.
Ein kompletter Linux-Rechner in Form eines USB-Sticks: Die Firma Yoggie setzt diese verblüffende Hardware ein, um einzelne Windows-Rechner vor Bedrohungen aus dem Netz zu schützen. Doch nicht alles funktioniert wie gedacht, wie ein ausführlicher Test im Linux-Magazin 07/2008 entlarvt. Mit einfachen Kniffen war es bis vor kurzem möglich, die Firewall komplett zu umgehen.
In seinem Test fand Linux-Magazin-Autor Jörg Fritsch eine dicke Sicherheitslücke des Yoggie Gatekeeper Pico (Version 1.3.8), mit der ein Angreifer die Firewall umgehen und das Zielsystem direkt angreifen konnte. Einzige Voraussetzung war, dass sich der Angreifer im gleichen Subnetz befindet wie das physikalische Interface des Zielsystems. Das kann innerhalb eines Firmen-LAN sein, aber auch beim Ethernet-Zugang im Hotel oder dem WLAN am Flughafen. Genau in diesen eher feindlichen Umgebungen ist der Yoggie-Schutz aber gefragt. Der Testangriff erfolgte in vier Schritten:
Schritt 1: Bei einem Nessus-Scan des Yoggie-geschützten Systems erscheint die IP-Adresse des physikalischen Interface perfekt geschützt – das System reagiert auf kein Paket. Nur ein UDP-Traceroute entlarvte überraschenderweise die interne IP-Adresse des Yoggie-Sticks, also die Adresse über die der Stick mit dem Host-System kommuniziert.
Schritt 2: Ein Scan auf die interne Adresse ist zunächst nicht möglich, da deren Subnetz nicht bekannt und nicht geroutet ist. Der Tester wählte eine passende 16er Netzmaske, die auf jeden Fall passt, und setzte auf dem angreifenden System eine Route zum Subnetz. Als Gateway-IP diente die Adresse des physikalischen Interface des geschützten Systems.
Schritt 3: Ein Nmap-Scan über das neu geroutete 16er Subnetz lieferte zwei Adressen: die interne IP der Yoggie-Firewall-Appliance und die des neuen virtuellen Host-Adapters.
Schritt 4: Der abschließende Nessus-Scan auf beide IP-Adressen zeigte den Sicherheits-GAU: Nessus sieht den ungefilterten Zustand des Host-Systems so, als würde Yoggie nicht existieren. Ein Angreifer könnte ungehindert jede Lücke des Host-Systems ausnutzen.
Eine komplette Linux-Firewall in Form eines USB-Sticks: Der Yoggie Gatekeeper Pico (Version 1.3.8) zeigte im Linux-Magazin-Test eine dicke Sicherheitslücke.
Der Autor berichtete die Sicherheitslücke sofort an Yoggie (in der Nacht vom 16. auf den 17. März 2008), woraufhin der Hersteller innerhalb von 36 Stunden ein Update auf Version 1.3.9 entwickelte, das den Fehler auch behob. Diese Reaktionszeit ist vorbildlich; ganz anders allerdings die Informationspolitik. Auf mehrfache Nachfrage, wann Yoggie ein Advisory zu der Lücke herausgibt, reagierte die Firma ablehnend: Die Yoggie-Software spiele jedes Update automatisch sofort ein, das sei viel mehr, als ein klassisches Advisory leisten könne. Der einzige Hinweis auf das Sicherheitsdesaster versteckt sich im History-File zur Firmware:
1.3.9 (18 March 2008) ------------------------------- Fixed: ------ Issue #1008: Critical security update; device hardening including network interfaces and improved Firewall stealth mode
Die Argumentation überzeugt aber nicht. Hat ein Stick keine Onlineverbindung, bleibt das System verwundbar, selbst bei einer Verbindung bleibt ein Zeitfenster, in dem der Host verwundbar ist. Da der Angreifer sowieso aus dem LAN kommen muss, sind durchaus Situationen denkbar, in denen ein Gatekeeper kein Update einspielen kann, das System aber Angriffen ausgesetzt ist. Auch erlaubt es der Corporate-Modus dem Admin, zu steuern, welche Updates seine Sticks einspielen – aus obigem knappen Hinweis kann niemand die Tragweite der Lücke erkennen. Selbst zwei Monate später hat Yoggie den Fehler nicht weiter publiziert.
Eine exakte Erklärung für die Verwundbarkeit blieb Yoggie zunächst schuldig, bestätigte auf mehrere Rückfragen dann aber die Vermutungen des Autors und des Linux-Magazins. Der Gatekeeper arbeitet im Grunde wie eine herkömmliche Linux-Firewall als NAT-Router, einzig die Anbindung an das Windows-System fällt aus dem Rahmen. Damit gelten für die Firewallkonfiguration alle üblichen Vorsichtsmaßnahmen. Der Yoggie-Stick erzeugte Netfilter-Regeln aber offenbar ohne Interface-Angaben: Es fehlten die “-i”- und “-o”-Parameter, daher galten die Regeln nur für IP-Adressen.
Der Beispielangriff hatte zur Folge, dass Pakete am externen Interface eintreffen, die sich direkt an die interne Adresse richten. Diese Pakete hat das Routing im Linux-Kernel korrekt zugestellt, ohne dass eine Firewallregel es daran gehindert hätte.
Der vollständige Artikel mit einem ausführlichen Test des Yoggie Gatekeeper Pico erscheint im Linux-Magazin 07/2008, das ab dem 05.06.2008 am Kiosk erhältlich ist.
