Zyxel-Produkte mit Hintertür

Begonnen von Cypheros, Januar 06, 2021, 00:11:05

« vorheriges - nächstes »

Cypheros

Nach einem Artikel bei Heise.de hat die chinesische Firma Zyxel in einige Ihrer Produkte (Firewalls, Access Points) offenbar Hinterüren eingebaut.

Artikel bei Heise.de: https://www.heise.de/news/Zyxel-hat-Backdoor-fix-in-Firewalls-einprogrammiert-5002067.html

Auch wenn ich schon vor über 20 Jahren selbst von Zyxel-Modems vollkommen überzeugt war, zeigt diese Panne, dass man chinesischen Produkten immer mit ausreichender Skepsis begegnen und wenn möglich nicht in sicherheitrelevaten Anwendungen einsetzen sollte.

Interessant ist die Möglichkeit über die Hintertür einen Root-Account anlegen zu können mit dem Namen "NsaRescueAngel". Ist das chinesische Ironie?


Kiraly-Cutter

Nsa steht für Not Secure Account.  ;D
Dreambox DM920 UHD 4K
VU+ Duo 4K SE

xa89

Hm, hat nicht jede anspruchsvolle Software eine Hintertür beim Anmelden ?
Das ist so auch in der Firma bei der ich derzeit meine Rente mit einem Vollzeitjob aufbessere.

Das war wohl eine Panne mit der zusätzlichen Hintertür.  ;D
Die Meinung aus dem heise-Forum sollte zutreffen:
Ganz so dumm, einen festen Zugang mit Klartextpasswort einzubauen,
ist längst niemand mehr, und auch ein Geheimdienst wird sich nicht
durch eine dermaßen exponierte Backdoor kompromittieren.
Dürfte also ehe eine Entwicklungs-/Debug-Option sein,
die (wegen fehlender oder fehlerhafter Conditionals) im Release stehengelassen wurde.


Bei heise gibt es manchmal Online Videokonferenzen:
https://heise-onlinekonferenzen.de/agile-con

Wer hat noch teilgenommen ? (die Teilnahme ist nicht kostenlos)

Wegen der Unschärferelation von Sein und Nichtsein haben wir unsere Gegenwart (das Jetzt).

Mam

Na ja, Backdoors in Firewalls sind recht verbreitet, denn ein vergessenes Passwort bedeutet hier, dass eine ganze Firma auf einmal ohne Internetzugang dasteht oder ein gekündigter Admin mal eben von zuhause aus etwas Rache nimmt.

Auch ich habe in den 90ern jedes System/Standort mit einem fixen User/Passwort mit Adminrechten eingerichtet. Schon alleine aus Personalnot, wenn man nur einen Admin für 30 Städte hat, dann erlaubt man entweder Fernwartung oder einen Diensthelikopter (wir brauchten häufig beides und auch mal ab und an ein Schnellboot). Und wenn der schlecht ausgebildete Admin (war vorher wohl mal "Fahrer vom Scheff" oder Ähnliches) nicht weiterkommt, muss auch noch der Spezialist rangekarrt werden... Wenn dann die Fahrtkosten und Reisezeiten in den sechsstelligen Bereich driften, wird Fernwartung ganz schnell angeordnet...

Die Backdoor selber ist erstmal harmlos, selbst wenn das Passwort allgemein bekannt ist.

Der Fehler, den leider die meisten machen, ist solch einen Zugriff dann auch allgemein und auch von aussen zu erlauben!
Jeder Firewall kann ganz einfach eine Regel bekommen, die SSH auf interne Ports oder nur bestimmte Adressen limitiert, die Leute sind nur zu faul, sie einzugeben. Und man kann den externen Zugriff zudem über VPNs absichern.

Und jeder "bessere" Firewall hat eh einen extra Managementport, nur an diesem sind dann solche Zugriffe überhaupt möglich. Wenn die Leute natürlich so dämlich sind, diesen mit auf das Hauptlan zu stecken....

Ein richtiges Problem sind natürlch Backdoors, die erstmal keiner kennt. Da werden die Leute dann nicht ganz zu unrecht lurig und vergessen die wichtigen Einstellungen schon mal. Deshalb sind solche Hinweise von der CT oder vom BSI (da kann man z.B. einen security newsletter abonnieren, die warnen per mail und das sogar recht zeitnah) wichtig.



xa89

Die von mir eingebaute Hintertür für vergessliche Admins hatte ein Zeitpasswort, gültig einen Tag.
Dies musste vom Admin beim Support angefragt werden.
Der Support hat dann mit einem Programm das aktuelle Kennwort für den Kunden errechnet aus Merkmalen der Hardware und dem aktuellen Tag.
Dieses Kennwort wurde wahrscheinlich am Telefon dem Kunden mitgeteilt (oder E-Mail).
Für andere Anwender ist das gegebene Kennwort nutzlos wenn sie es zufällig erfahren.
Wegen der Unschärferelation von Sein und Nichtsein haben wir unsere Gegenwart (das Jetzt).

Mam

Zitat von: xa89 am März 13, 2021, 15:56:23
Die von mir eingebaute Hintertür für vergessliche Admins hatte ein Zeitpasswort, gültig einen Tag.
Ich dachte, die kranke Idee mit "Security thru Obfiscation" wäre schon seit 20 Jahren ad absurdum geführt worden und inzwischen ausgestorben???

Für Deine Hintertür braucht man also nur einen kleinen KeyGen, den man wahrscheinlich recht günstig in China oder Russland bestellen kann...

xa89

#6
Ja, die Hintertür habe ich in den 90ern geschrieben und der Chef der mich beauftragt hat ist auch schon verstorben. Der Schlüssel (abhängig von der Hardware des Kunden und Tagesdatum) hat wohl damals genügt.
Es wurden aber auch noch andere Daten (30 Buchstaben) beim Errechnen des Keys verwendet. Diese Daten stehen nur im Programm des Herstellers.
Ich denke beim Ablegen von verschlüsselten HD+ Videodateien werden auch Daten der Hardware (Receiver) verwendet. 
Wegen der Unschärferelation von Sein und Nichtsein haben wir unsere Gegenwart (das Jetzt).

xa89

Man sollte auch bedenken, dass man bei vielen Anwendungen (beim Kunden) gesperrt wird nach dem dreimaligen Eintippen eines falschen Kennworts und sich beim Administrator melden muss.
Bei der Hintertür würde es dann z.B. eine Zeitsperre für eine Stunde geben.
Beim Anmelden am PC darf man sich oft vertippen bei der Eingabe des Kennworts.  ;D
Wegen der Unschärferelation von Sein und Nichtsein haben wir unsere Gegenwart (das Jetzt).


www.cypheros.de