Meinberg Security Advisory [MBGSA-1701]: LTOS6 Web Interface

Jakub Palaczynski, unabhängiger IT-Sicherheitsforscher, hat Meinberg über drei Sicherheitslücken in Bezug auf die Web-Benutzerschnittstelle von Meinberg-Systemen, die mit der LTOS6-Firmware laufen, informiert. Diese Schwachstellen wurden in der aktuellen Meinberg LTOS6-Firmware-Version 6.24.004 behoben, die als kostenloses Update für alle Meinberg-Kunden, gemäß der Meinberg "Free Lifetime Security Update-Vereinbarung" verfügbar ist.

Zusätzlich haben wir einen Fehlerbericht von Herrn Johannes Weber erhalten, in dem ein Problem mit der Funktion "automatische Generierung von NTP-Schlüsseln" der WebUI beschrieben wird.

CVE-IDs: CVE-2017-16786 | CVE-2017-16787 | CVE-2017-16788

[1] Beschreibung des Problems:

CVE-2017-1678: Beliebige Dateien lesbar:
Aufgrund einer falsch konfigurierten Webserver Access Control List war es einem authentifizierten Benutzer möglich, den Inhalt von beliebigen Dateien einzusehen, einschließlich Dateien, die (verschlüsselte) sicherheitsrelevante Daten enthielten.

CVE-2017-16787: Fehler bei eingeschränktem URL-Zugriff (z.B. direkte Objektreferenz):
HTTP / HTTPS-Anfragen ermöglichten den direkten Zugriff auf Dateien im Stammverzeichnis des Webservers ohne Authentifizierung, sodass ein Angreifer statistische Daten und statistische Grafiken lesen konnte, ohne gültige Anmeldeinformationen eingeben zu müssen.

CVE-2017-16788: Beliebiger Datei-Upload:
Ein authentifizierter Benutzer war in der Lage, beliebige Dateien hochzuladen und mithilfe einer fehlenden Parametervalidierungsprüfung hochgeladene Dateien an einem beliebigen Ort unter Verwendung eines "Directory-Traversal-Angriffs" zu platzieren.

NO-CVE: Fehler bei der automatischen NTP-Schlüsselerzeugung
Bei Verwendung der automatischen NTP-Schlüsselgenerierungsfunktionalität haben ältere Versionen der LTOS6-Firmware neu erstellte Schlüssel an die NTP-Schlüsseldatei angehängt, ohne zu überprüfen, ob die Schlüsselnummern bereits in der selben Datei verwendet werden, sodass die vorhandenen Schlüssel weiterhin verwendet werden konnten.

[2] Betroffene Systeme:
Dieser Fehler betrifft alle LTOS6-Firmware-Versionen vor 6.24.004, die für alle Geräte der Meinberg LANTIME M-Serie (M100, M200, M300, M400, M600, M900) sowie für alle Geräte der IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100).

[3] Mögliche Verteidigungsstrategien:
Alle drei Schwachstellen und der beschriebene Fehler sind in der Firmware-Version 6.24.004 behoben, die als kostenloser Download für Meinberg-Kunden auf unserer Website verfügbar ist.

Wir empfehlen dringend, alle betroffenen Systeme so schnell wie möglich zu aktualisieren.

[4] Zusätzliche Informationsquellen:

[5] Danksagung:
Die drei Schwachstellen wurden von Jakub Palaczynski gemeldet. Nachfolgend hat er auch eng mit Meinberg zusammengearbeitet, um die Probleme zu überprüfen und beim Testen von Fehlerbehebungen (Bug-Fixes) zu helfen. Wir bedanken uns auch bei Herrn Johannes Weber für den Fehlerbericht über die automatische Generierung von NTP-Schlüsseln.

Vielen Dank für Ihr Verständnis!