Meinberg Security Advisory: [MBGSA-1904] SyncBox PTP/PTPv2

Die Firmware der SyncBox/PTP und SyncBox/PTPv2 wurde mit vorkonfigurierten SSH-Schlüsseln ausgeliefert. Aus diesem Grund ist ein Werkzeug entwickelt worden, um SSH-Schlüssel automatisiert neu zu erstellen sowie alte und autorisierte Schlüssel zu entfernen. Durch das Einspielen des Werkzeugs über die Update-Funktionalität werden alle SSH-Host-Schlüssel neu generiert. Bei dem nächsten SSH-Anmeldeversuch an einer SyncBox erscheint in Folge dessen, die Warnmeldung, der Host-Schlüssel habe sich geändert.

Einschätzung des Bedrohungsgrades:

• SyncBox/PTP/PTPv2-Firmware alle Versionen (Punkt 2 betroffene Systeme beachten):
  Bedrohungsgrad kritisch.

Aktualisierte Version:

• SyncBox/PTP/PTPv2-Firmware:
  Die Version der Firmware wird durch dieses Werkzeug nicht verändert. Es wird eine Logdatei unter "/update.log" angelegt, um den Erfolg der Schlüsselgenerierung zu dokumentieren.

1 Beschreibung der Sicherheitsschwachstellen

CVE-2019-17584 Bedrohungsgrad kritisch:
Die SyncBox/PTP und SyncBox/PTPv2 wurden mit voreingestellten SSH-Schlüsseln ausgeliefert. Durch diese sind Man-In-The-Middle-Angriffe stark vereinfacht. Einer dieser Schlüssel ist zudem als autorisierter Schlüssel hinterlegt, mit dem der Root-Zugriff ohne Passphrase-Abfrage über das Netzwerk ermöglicht wird (gefunden von Simon Winter - https://www.xing.com/profile/Simon_Winter17).

2 Betroffene Systeme

Die Verwendung von Standard-SSH-Host-Schlüsseln bezieht sich auf alle SyncBox-Systeme, auf denen die SSH-Host-Schlüssel nicht manuell vom Benutzer ersetzt wurden. Außerdem ist zu überprüfen, ob in der "/root/authorized_keys"-Datei und in der "/root/known_hosts"-Datei kein SSH-Schlüssel enthalten ist, der nicht explizit vom Benutzer hinterlegt wurde.

Um sicher zu gehen, dass keine Standard-SSH-Schlüssel verwendet werden, kann über den SSH-Zugang überprüft werden, ob einer der folgenden öffentlichen Schlüssel enthalten ist. Sollte einer dieser Schlüssel gleich sein, ist ein Standard-Schlüssel enthalten und ein Austausch nötig.

Authorized Key RSA:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAzrkPESKunGZ7VGGqDD2IEFXh9wylPo5TynYdKcXq+kbFGG60fo6scPKgqQBMg44NZit1MdJEw7hUbA9jqGJr5l/93cjwjMDAdrkgW9c5k74nTYvlIwEHy8SVtqR3skm7bQKmFwmErNccS0euxcvVYqFI0vV04m2gJqV0Z4HuiUM=root@linux

Host Key DSA nach DSS:
ssh-dss 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

oder:

ssh-dss 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root@colibri

Host Key ECDSA:
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBEOCpD1PKaHibvUUnfwNrvAUPaJEO5zK3BADhNWQzjJ8aCSCmrkWfCAPq8oO59lV2kPX8R/YApXDW/I63HRnygQ=

Host Key RSA:
2048 65537 20029759096134637824756177350467424396787114641882053230308389248270094064857334222957778026324558390692549698510775751106747165055763561793771975289146494551949663109110603632160482668544507568361339755929323482976442850256030421789175116149861118049838843599216553167640758784137135662780164866833227684470427953260761696257865925486291591503575686301422063096123287739945268534378710322372459923264935710362677297008811624245813850204664480744001875509095340001476802104336517178282698460346668260009584402587806591388304148337521197711309487182761201898233647516025627696151168370702113445201140160960591203695983

Host Key RSA:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAwL+3U5ZZD8yKOrTm7ZlUdfAGIzDx95CcAYS4BcVwfJpVaWiEQDupOgQE70c21I+k7G8CmxSHZlTf/dXuarVITBXS1ejJk1NxFkiIhj1bSBLB1gNyUhwA1X7YjPTVGLDZeD+0QPwZDAtkCPVCUOTXsjhS7Fmco6yVjSIBkYJ7zjE/A0+XuDvvspHWxOLEXMCFK75iTgMMPSw7s8XvZejMClny+dLr5ehi5MxR8nUYtojm/VeJoL28bFNLtrC2aowNjxqNuKUUDOqaALv8hS0lCxEcKgqRg8TjwAjy5hpH24whEFCJloJkddd3EK1aqLSzCy1ClZPBKu/nPHOWf7EmHw== root@colibri

Alle SyncBox/PTP/PTPv2-Firmware-Versionen bis einschließlich:

• v5.34o,
• v5.34s,
• v5.32*,
• v5.34g

wurden mit Standard-Schlüsseln ausgeliefert.

Die SyncBox/PTP/PTPv2-Firmware wird von allen Geräten der SyncBox-Produktfamilie (Hutschienen- und Multipack-Gehäuse) genutzt.

Ob und in welchem Maße einzelne Kunden bzw. SyncBox-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.

3 Mögliche Sicherheitsmaßnahmen

Das Werkzeug zum Erneuern der SSH-Schlüssel und zum Entfernen der autorisierten sowie bekannten Schlüssel auf einer SyncBox befindet sich in der Aktualisierungsdatei. Das Werkzeug kann über die Firmware-Upload-Funktion des Web-Interfaces ausgewählt und gestartet werden. Nach einem anschließenden Neustart der SyncBox sind die SSH-Schlüssel ersetzt und die autorisierten Schlüssel geleert. Der Erfolg dieser Maßnahme kann in dem "/update.log" überprüft werden.

Wenn ein Benutzer nicht alle Schlüssel erneuern oder entfernen möchte, müssen folgende Dateien überprüft und die darin enthaltenen Schlüssel gegebenenfalls ausgetauscht werden. Die folgende Liste gibt die möglichen Speicherorte über unterschiedliche Firmware-Versionen hinweg an. Die tatsächlichen Speicherorte sind also eine Untermenge der angegebenen.

• /home/root/.ssh/authorized_keys
• /home/root/.ssh/known_hosts
• /root/.ssh/authorized_keys
• /root/.ssh/mbg_authorized_keys
• /etc/ssh/ssh_host_rsa_key.pub
• /etc/ssh/ssh_host_rsa_key
• /etc/ssh/ssh_host_dsa_key.pub
• /etc/ssh/ssh_host_dsa_key
• /etc/ssh_host_rsa_key.pub
• /etc/ssh_host_rsa_key
• /etc/ssh_host_dsa_key.pub
• /etc/ssh_host_dsa_key
• /etc/ssh_host_ecdsa_key.pub
• /etc/ssh_host_ecdsa_key
• /etc/ssh_host_key.pub
• /etc/ssh_host_key

Download der SyncBox-Aktualisierungsdatei:

• 20191126_syncbox_pxa270x_remove_default_ssh_keys.tgz

Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die SSH-Schlüssel über das SyncBox-Firmware-Update- Werkzeug zu ersetzen.

4 Weitere Informationen

Weitere Details und Informationen finden Sie auf der folgenden Webseite:

• Wie kann ich bei einer Meinberg SyncBox ein Firmware-Update durchführen?

Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.

5 Danksagung

Wir möchten uns bei Simon Winter und allen anderen bedanken, die uns helfen, unsere Produkte zu verbessern und sicherer zu machen.
Vielen Dank!