News vom 09.12.2019
Meinberg Security Advisory: [MBGSA-1904] SyncBox PTP/PTPv2
Einschätzung des Bedrohungsgrades:
-
SyncBox/PTP/PTPv2-Firmware alle Versionen (Punkt 2 betroffene Systeme beachten):
Bedrohungsgrad kritisch.
Aktualisierte Version:
-
SyncBox/PTP/PTPv2-Firmware:
Die Version der Firmware wird durch dieses Werkzeug nicht verändert. Es wird eine Logdatei unter "/update.log" angelegt, um den Erfolg der Schlüsselgenerierung zu dokumentieren.
1 Beschreibung der Sicherheitsschwachstellen
CVE-2019-17584 Bedrohungsgrad kritisch:Die SyncBox/PTP und SyncBox/PTPv2 wurden mit voreingestellten SSH-Schlüsseln ausgeliefert. Durch diese sind Man-In-The-Middle-Angriffe stark vereinfacht. Einer dieser Schlüssel ist zudem als autorisierter Schlüssel hinterlegt, mit dem der Root-Zugriff ohne Passphrase-Abfrage über das Netzwerk ermöglicht wird (gefunden von Simon Winter - https://www.xing.com/profile/Simon_Winter17).
2 Betroffene Systeme
Die Verwendung von Standard-SSH-Host-Schlüsseln bezieht sich auf alle SyncBox-Systeme, auf denen die SSH-Host-Schlüssel nicht manuell vom Benutzer ersetzt wurden. Außerdem ist zu überprüfen, ob in der "/root/authorized_keys"-Datei und in der "/root/known_hosts"-Datei kein SSH-Schlüssel enthalten ist, der nicht explizit vom Benutzer hinterlegt wurde.Um sicher zu gehen, dass keine Standard-SSH-Schlüssel verwendet werden, kann über den SSH-Zugang überprüft werden, ob einer der folgenden öffentlichen Schlüssel enthalten ist. Sollte einer dieser Schlüssel gleich sein, ist ein Standard-Schlüssel enthalten und ein Austausch nötig.
Authorized Key RSA:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAzrkPESKunGZ7VGGqDD2IEFXh9wylPo5TynYdKcXq+kbFGG60fo6scPKgqQBMg44NZit1MdJEw7hUbA9jqGJr5l/93cjwjMDAdrkgW9c5k74nTYvlIwEHy8SVtqR3skm7bQKmFwmErNccS0euxcvVYqFI0vV04m2gJqV0Z4HuiUM=root@linux
Host Key DSA nach DSS:
ssh-dss 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
oder:
ssh-dss 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root@colibri
Host Key ECDSA:
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBEOCpD1PKaHibvUUnfwNrvAUPaJEO5zK3BADhNWQzjJ8aCSCmrkWfCAPq8oO59lV2kPX8R/YApXDW/I63HRnygQ=
Host Key RSA:
2048 65537
20029759096134637824756177350467424396787114641882053230308389248270094064857334222957778026324558390692549698510775751106747165055763561793771975289146494551949663109110603632160482668544507568361339755929323482976442850256030421789175116149861118049838843599216553167640758784137135662780164866833227684470427953260761696257865925486291591503575686301422063096123287739945268534378710322372459923264935710362677297008811624245813850204664480744001875509095340001476802104336517178282698460346668260009584402587806591388304148337521197711309487182761201898233647516025627696151168370702113445201140160960591203695983
Host Key RSA:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAwL+3U5ZZD8yKOrTm7ZlUdfAGIzDx95CcAYS4BcVwfJpVaWiEQDupOgQE70c21I+k7G8CmxSHZlTf/dXuarVITBXS1ejJk1NxFkiIhj1bSBLB1gNyUhwA1X7YjPTVGLDZeD+0QPwZDAtkCPVCUOTXsjhS7Fmco6yVjSIBkYJ7zjE/A0+XuDvvspHWxOLEXMCFK75iTgMMPSw7s8XvZejMClny+dLr5ehi5MxR8nUYtojm/VeJoL28bFNLtrC2aowNjxqNuKUUDOqaALv8hS0lCxEcKgqRg8TjwAjy5hpH24whEFCJloJkddd3EK1aqLSzCy1ClZPBKu/nPHOWf7EmHw== root@colibri
Alle SyncBox/PTP/PTPv2-Firmware-Versionen bis einschließlich:
- v5.34o,
- v5.34s,
- v5.32*,
- v5.34g
Die SyncBox/PTP/PTPv2-Firmware wird von allen Geräten der SyncBox-Produktfamilie (Hutschienen- und Multipack-Gehäuse) genutzt.
Ob und in welchem Maße einzelne Kunden bzw. SyncBox-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.
3 Mögliche Sicherheitsmaßnahmen
Das Werkzeug zum Erneuern der SSH-Schlüssel und zum Entfernen der autorisierten sowie bekannten Schlüssel auf einer SyncBox befindet sich in der Aktualisierungsdatei. Das Werkzeug kann über die Firmware-Upload-Funktion des Web-Interfaces ausgewählt und gestartet werden. Nach einem anschließenden Neustart der SyncBox sind die SSH-Schlüssel ersetzt und die autorisierten Schlüssel geleert. Der Erfolg dieser Maßnahme kann in dem "/update.log" überprüft werden.Wenn ein Benutzer nicht alle Schlüssel erneuern oder entfernen möchte, müssen folgende Dateien überprüft und die darin enthaltenen Schlüssel gegebenenfalls ausgetauscht werden. Die folgende Liste gibt die möglichen Speicherorte über unterschiedliche Firmware-Versionen hinweg an. Die tatsächlichen Speicherorte sind also eine Untermenge der angegebenen.
- /home/root/.ssh/authorized_keys
- /home/root/.ssh/known_hosts
- /root/.ssh/authorized_keys
- /root/.ssh/mbg_authorized_keys
- /etc/ssh/ssh_host_rsa_key.pub
- /etc/ssh/ssh_host_rsa_key
- /etc/ssh/ssh_host_dsa_key.pub
- /etc/ssh/ssh_host_dsa_key
- /etc/ssh_host_rsa_key.pub
- /etc/ssh_host_rsa_key
- /etc/ssh_host_dsa_key.pub
- /etc/ssh_host_dsa_key
- /etc/ssh_host_ecdsa_key.pub
- /etc/ssh_host_ecdsa_key
- /etc/ssh_host_key.pub
- /etc/ssh_host_key
Download der SyncBox-Aktualisierungsdatei:
Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die SSH-Schlüssel über das SyncBox-Firmware-Update- Werkzeug zu ersetzen.
4 Weitere Informationen
Weitere Details und Informationen finden Sie auf der folgenden Webseite:Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.
5 Danksagung
Wir möchten uns bei Simon Winter und allen anderen bedanken, die uns helfen, unsere Produkte zu verbessern und sicherer zu machen.Vielen Dank!