image

CUJO-firewall kon door beveiligingslek worden overgenomen

woensdag 20 maart 2019, 11:40 door Redactie, 1 reacties

Onderzoekers hebben in de CUJO-firewall verschillende kwetsbaarheden ontdekt waardoor een aanvaller het apparaat had kunnen overnemen. De CUJO-firewall wist een aantal jaren geleden via een crowfundingcampagne ruim 300.000 dollar op te halen.

Het apparaat wordt omschreven als een "smart firewall" die alle op het netwerk aangesloten apparaten kan beschermen en hierbij gebruikmaakt van "kunstmatige intelligentie". Onderzoekers van Cisco vonden in totaal 11 beveiligingslekken in de firewall. Via de kwetsbaarheden was het mogelijk om de safebrowsingfunctie te omzeilen en het apparaat volledig over te nemen.

De aanvaller had in dit geval willekeurige code in de context van het rootaccount kunnen uitvoeren of een niet gesigneerde kernel kunnen uploaden en uitvoeren. De aanvallen waren zowel lokaal als op afstand mogelijk. De onderzoekers omschrijven een scenario waarbij een kwaadaardige website twee kwetsbaarheden combineert waardoor het uitvoeren van code in de kernel mogelijk was.

De onderzoekers ontdekten verder twee kwetsbaarheden in de bootloader van de CUJO. Deze bootloader moet de bootprocessen tegen ongeautoriseerde aanpassingen beschermen en zo voorkomen dat het apparaat persistent gecompromitteerd wordt. Daarnaast is de eerste 16MB van het eMMC-geheugen van de CUJO-firewall tegen schrijven beveiligd, zodat zelfs de fabrikant de bootloaders niet kan aanpassen. Via de twee beveiligingslekken die de onderzoekers identificeerden was het mogelijk om deze beveiligingsmaatregelen te omzeilen en zo het apparaat persistent te compromitteren.

Na te zijn ingelicht door de onderzoekers heeft de fabrikant een firmware-update voor de CUJO-firewall uitgebracht. Deze update wordt automatisch geïnstalleerd. Eigenaren krijgen het advies om te controleren of hun firewall up-to-date is.

Reacties (1)
25-03-2019, 11:31 door Anoniem
" Daarnaast is de eerste 16MB van het eMMC-geheugen van de CUJO-firewall tegen schrijven beveiligd, zodat zelfs de fabrikant de bootloaders niet kan aanpassen"

daarna:

"heeft de fabrikant een firmware-update voor de CUJO-firewall uitgebracht. Deze update wordt automatisch geïnstalleerd"


Kan iemand mij vertellen hoe dit dan werkt?

Wordt de update uitgevoerd als payload na de exploit die de Cisco onderzoekers gemaakt hebben?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.