News vom 30.01.2020
Meinberg Security Advisory: [MBGSA-2001] Meinberg-LANTIME-Firmware V7 und V6
Einschätzung des Bedrohungsgrades
- LANTIME-Firmware 7.00.005: Bedrohungsgrad kritisch nur wenn eine TSU pxa270_v12 in einer M400, M600 oder M900 verwendet wird
- LANTIME-Firmware 6.24.023: Bedrohungsgrad kritisch
Aktualisierte Version:
- LANTIME-Firmware: V7.00.006
- LANTIME-Firmware: V6.24.024
-
Beschreibung der Sicherheitsschwachstellen
-
Web-Interface
-
CVE-2018-10834 - Arbitrary File Read / Privilege Escalation (hoch)
Admin- und Info -User konnten durch den Datei-Upload-Mechanismus (NTP → Schaltsekunde) Dateien auslesen, auf die nur der Root-User Zugriff hat. (gefunden von Michal Bazyli)
Bereinigt ab:
V7.00.002 MBGID-6927, 7038 und V6.24.024 MBGID-8872
Workaround:
Admin- und Info-Usern den Zugriff entziehen.
-
CVE-2018-10835 - Arbitrary File Upload / Privilege Escalation (hoch)
Admin-User konnten durch den Datei-Upload-Mechanismus (NTP → Schaltsekunde) im Web-Interface Dateien austauschen, auf die nur der Root-User Zugriff hat. (gefunden von Michal Bazyli)
Bereinigt ab:
V7.00.002 MBGID-6927, 7039 und V6.24.024 MBGID-8872
Workaround:
Admin- und Info-Usern den Zugriff entziehen.
-
CVE-2018-10836 - Information Disclosure (gering)
Info- und Admin-User konnten durch die "Eingeloggte Benutzer"- Funktion andere angemeldete Benutzer sehen. (gefunden von Michal Bazyli)
Bereinigt ab:
V7.00.002 MBGID-6927, 7046 und V6.24.024 MBGID-8872, 8877
Workaround:
Admin- und Info-Usern den Zugriff entziehen.
-
CVE-2020-7240 - Remote Code Execution (gering)
Die vorgesehene Funktionalität, die der CVE-2020-7240 zu Grunde liegt, kann nur von Super-Usern, die Root-Rechte besitzen, genutzt werden. Andere authentifizierte Benutzer haben keine Möglichkeit im Webinterface Scripte zu erstellen. Aufgrund der hohen nötigen Privilegien ist derzeit keine Änderung der Funktionalität geplant.
https://nvd.nist.gov/vuln/detail/CVE-2020-7240
Workaround:
Webinterface deaktivieren (HTTP/HTTPS deaktivieren).
-
NO-CVE1 - Stored-Cross-Site-Scripting nicht authentifiziert (kritisch)
Durch den Anmeldedialog konnte von nicht authentifizierten Benutzern Java-Script-Code platziert werden, der vom Webserver über die Funktion "System → Systeminformationen → Systemmeldungen anzeigen" ausgeliefert wurde. (gefunden von Jakub Palaczynski)
Bereinigt ab:
V7.00.002 MBGID-6362 und V6.24.024 MBGID-8873
Workaround:
Webinterface deaktivieren (HTTP/HTTPS deaktivieren).
-
NO-CVE2 - Stored-Cross-Site-Scripting authentifiziert (hoch)
Admin-User konnten über diverse Wege Java-Script-Code platzieren, der vom Webserver ausgeliefert wurde. (gefunden von Jakub Palaczynski)
Bereinigt ab:
V7.00.002 MBGID-7077, 7191, 7034 und V6.24.024 MBGID-8873
Workaround:
Admin-Usern den Zugriff entziehen.
-
NO-CVE3 - Reflected-Cross-Site-Scripting authentifiziert (mittel)
Die Parameter der SyncMon- und XtraStats-Seite waren anfällig für Reflected-Cross-Site-Scripting-Angriffe. (gefunden von Jakub Palaczynski)
Bereinigt ab:
V7.00.002 MBGID-8285, 7150 und V6.24.024 MBGID-8873
Workaround:
Webinterface deaktivieren (HTTP/HTTPS deaktivieren).
-
NO-CVE4 - Privilege Escalation vom Admin- zum Super-User (hoch)
- Admin-User durften Konfigurationen herunterladen, verändern und wieder hochladen (z.B. Veränderung der /etc/passwd möglich). (gefunden von Jakub Palaczynski)
Bereinigt ab:
V7.00.002 MBGID-7009, 6746 und V6.24.024 MBGID-8948
Workaround:
Admin-Usern den Zugriff entziehen.
- Admin-User durften andere Firmware-Versionen aktivieren (Rücksprung auf V6 in der Konfigurationsänderungen möglich sind).
Bereinigt ab:
V7.00.002 MBGID-8430 und V6.24.024 MBGID-8949
Workaround:
Admin-Usern den Zugriff entziehen.
-
Admin-User durften den Auslieferungszustand wiederherstellen (Übernahme des Gerätes).
Bereinigt ab:
V7.00.002 MBGID-8430 und V6.24.024 MBGID-8949
Workaround:
Admin-Usern den Zugriff entziehen.
-
Admin-User konnten die zusätzliche Netzwerk-Konfiguration und die benutzerdefinierten Nachrichten einsehen in denen evtl. sicherheitsrelevante Informationen stehen können.
Bereinigt ab:
V7.00.002 MBGID-7081 und V6.24.024 MBGID-8951
Workaround:
Admin-Usern den Zugriff entziehen.
-
Admin-User durften andere externe Authentifizierungsserver eintragen, verändern und löschen.
Bereinigt ab:
V7.00.002 MBGID-8131, 8429 und V6.24.024 MBGID-8952
Workaround:
Admin-Usern den Zugriff entziehen.
-
Admin-User durften den privaten Schlüssel des SSL-Zertifikates herunterladen.
Bereinigt ab:
V7.00.002 MBGID-7038 und V6.24.024 MBGID-8953
Workaround:
Admin-Usern den Zugriff entziehen.
- Admin-User durften Konfigurationen herunterladen, verändern und wieder hochladen (z.B. Veränderung der /etc/passwd möglich). (gefunden von Jakub Palaczynski)
-
NO-CVE5 - Information Disclosure und evtl. Privilege Escalation vom Info- zum Super-User (hoch)
Der Download der Diagnosedatei war für Info-User möglich, in der potenziell sicherheitsrelevante Informationen stehen (z.B. der Externe-Authentifizierungs-Schlüssel, um den Netzwerkverkehr zu entschlüsseln).
Bereinigt ab:
V7.00.002 MBGID-7152 und V6.24.024 MBGID-8866
Workaround:
Info- und Admin-Usern den Zugriff entziehen.
-
NO-CVE6 - Browser Cache weakness (mittel)
Der Browser wurde nicht vom Webserver dazu angewiesen, aufgebaute Seiten aus dem Cache zu löschen (kein "Cache-Control: no-store" und "Pragma: no-cache"-Header gesetzt).
Bereinigt ab:
V7.00.002 MBGID-7024, 8767 und V6.24.024 MBGID-8868
Workaround:
Lighttpd Webserver-Konfiguration entsprechend manuell anpassen.
-
NO-CVE7 - veralteter Anti-Cross-Site-Scripting-Header gesetzt (gering)
Der Webserver übermittelte anstatt des Content-Security-Policy-Header den veralteten X-Content-Security-Policy-Header.
Bereinigt ab:
V7.00.002 MBGID-7015, 7391, 8767 und V6.24.024 MBGID-8868, 8875
Workaround:
Lighttpd Webserver-Konfiguration entsprechend manuell anpassen.
-
NO-CVE8 - Cross-domain Referer leakage (mittel)
Sicherheitsrelevante Informationen (das Cross-Site-Request-Forgery-Token) wurde in der URL übertragen (in V7 behoben). Außerdem hatten Links die Einstellung bzw. den Tag "noreferrer" nicht gesetzt (in V7 und V6 behoben).
Bereinigt ab:
V7.00.002 MBGID-7023, 7697 und V6.24.024 MBGID-8884
Workaround:
Webinterface deaktivieren (HTTP/HTTPS deaktivieren).
-
NO-CVE9 - Command Line Injection (hoch)
In einigen Formularfeldern des SyncMon-Web-Interface war es möglich, dass Admin-User beliebige Befehle unter Root-Rechten ausführen konnten. (gefunden von Jakub Palaczynski)
Bereinigt ab:
V7.00.002 MBGID-7186, 7010, 7696 und V6.24.024 MBGID-8885, 8867
Workaround:
Admin-Usern den Zugriff entziehen.
-
NO-CVE10 - Information Disclosure Passwort-Felder (mittel)
Die SNMPv1/v2-Community-Namen wurden im Web-Front-End in Klartext angezeigt. Das Schlüssel-Feld unter "System → Benutzer Administration → Authentifizierungsserver hinzufügen" war kein Passwortfeld.
Bereinigt ab:
V7.00.002 MBGID-7042, 7014, 8130 und V6.24.024 MBGID-8878
Workaround:
Webinterface deaktivieren (HTTP/HTTPS deaktivieren).
-
NO-CVE11 - Information Disclosure und evtl. Privilege Escalation (hoch)
Die SNMPv3-Authentifizierungs-Passphrase konnte über die manuelle Konfiguration ("System → Dienste und Funktionen → Manuelle Konfiguration → Sonstige Konfiguration") von einem Admin-User eingesehen werden.
Bereinigt ab:
V7.00.002 MBGID-7082 und V6.24.024 MBGID-8876
Workaround:
Admin-Usern den Zugriff entziehen.
-
NO-CVE12 - Information Disclosure und evtl. Privilege Escalation (hoch)
Der für die externe Authentifizierung verwendete Schlüssel konnte auch von einem Admin-User eingesehen werden, solange er sich in den "Aktuellen Konfigurationsänderungen" befand (mit anderen Worten: die aktuelle Konfiguration nicht als Startup-Konfiguration gespeichert wurde).
Bereinigt ab:
V7.00.002 MBGID-7040 und V6.24.024 MBGID-8901
Workaround:
Vor und während des Änderns sicherstellen, dass sich kein Admin-User anmelden kann.
-
CVE-2018-10834 - Arbitrary File Read / Privilege Escalation (hoch)
-
System
-
CVE-2011-2900 - Webshell Stack-based buffer overflow (hoch)
Der Webshell-Dienst nutzte eine alte Bibliothek mit dieser Schwachstelle.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2900
Bereinigt ab:
V7.00.002 MBGID-7255 und V6.24.024 MBGID-8871
Workaround:
Webshell-Dienst deaktivieren.
-
CVE-2019-1563 - OpenSSL Missing Encryption of Sensitive Data (gering)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1563
Bereinigt ab:
V7.00.002 MBGID-8659 und V6.24.024 MBGID-8660
-
CVE-2019-1547 - OpenSSL Missing Encryption of Sensitive Data (gering)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
Bereinigt ab:
V7.00.002 MBGID-8659 und V6.24.024 MBGID-8660
-
CVE-2019-1552 - OpenSSL Improper Certificate Validation (gering)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1552
Bereinigt ab:
V7.00.002 MBGID-8659 und V6.24.024 MBGID-8660
-
CVE-2019-1551 - OpenSSL Information Exposure (gering)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1551
Bereinigt ab:
V7.00.006 MBGID-8908 und V6.24.024 MBGID-8905
-
CVE-2011-2900 - Webshell Stack-based buffer overflow (hoch)
-
TSU-Karten
-
NO-CVE13 - SSH-Standardschlüssel (kritisch)
Ein SSH-Standardschlüssel ermöglichte den netzwerkseitigen Root-Zugriff auf TSU-Karten.
Bereinigt ab:
V7.00.002 MBGID-7591 und V6.24.022 für die TSU pxa270_v24 und TSU GbE (tegra20_v12_1ge)
V7.00.006 MBGID-8412 und V6.24.024 MBGID-8869 für die TSU pxa270_v12
Workaround:
Nach der initialen Konfiguration denn ssh-authorized-key entfernen und die Hostschlüssel austauschen. Danach sind keine automatischen Updates der TSU-Karte mehr möglich.
-
NO-CVE13 - SSH-Standardschlüssel (kritisch)
-
-
Betroffene Systeme
Alle LANTIME-Firmware-Versionen vor V6.24.024 (bzw. V7.00.002) sind von den Schwachstellen betroffen mit Ausnahme der CVE-2019-1551 und NO-CVE13 die auch die Versionen vor V7.00.006 betreffen. Die LANTIME Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100) verwendet.
Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.
-
Mögliche Sicherheitsmaßnahmen
Die Sicherheitspatches sind in den LANTIME-Firmware-Version V7.00.006 und V6.24.024 enthalten. Eine Aktualisierung auf diese Versionen behebt die gelisteten Sicherheitsschwachstellen mit der Ausnahme von CVE-2020-7240.
Außerdem ist zu beachten, dass die Webserverkonfiguration zur Behebung von NO-CVE6 und NO-CVE7 in der Version 6 nicht automatisch aktualisiert wird. Um die Konfiguration auszutauschen, kann folgender Befehl auf der Kommandozeile ausgeführt werden.
-
LANTIME:
sudo cp /mnt/firmware/fw_6.24.024/flash/firmware/OSV/packages/web/files/config/default/etc/http-global.conf /etc/http-global.conf ; sudo saveconfig; sudo restart http; sudo restart https -
SyncFire:
sudo cp /mnt/firmware/fw_6.24.024-sf1000/flash/firmware/OSV/packages/web/files/config/default/etc/http-global.conf /etc/http-global.conf ; sudo saveconfig; sudo restart http; sudo restart https
Download der neusten LANTIME-Firmware unter:
Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware auf die letzte Version 7.00.006 zu aktualisieren. Kunden die keine Möglichkeit haben 7.00.006 zu installieren, können auf die V6.24.024 zurückgreifen. -
LANTIME:
-
Weitere Informationen
Weitere Details und Informationen finden Sie in den LANTIME Firmware Changelogs und in den LTOS7 Release Notes:
Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen. -
Danksagung
Wir möchten den unabhängigen Sicherheitsforschern Michal Bazyli und Jakub Palaczynski vielmals für Ihre Zusammenarbeit danken. Des Weiteren gilt unser Dank auch denen die nicht genannt werden wollten oder dies nicht explizit angaben.
Vielen Dank!