News vom 30.01.2020


Meinberg Security Advisory: [MBGSA-2001] Meinberg-LANTIME-Firmware V7 und V6

Die LANTIME-Firmware-Version 6.24.024 erhält eine Aktualisierung (Rückportierung) zur Behebung der wichtigsten Sicherheitsschwachstellen, die bereits ab der LANTIME-Firmware-Version 7.00.002 behoben sind. Zusätzlich zu den Rückportierungen wurden zwei weitere Schwachstellen ab Version 7.00.006 und V6.24.024 behoben.

Einschätzung des Bedrohungsgrades

  • LANTIME-Firmware 7.00.005: Bedrohungsgrad kritisch nur wenn eine TSU pxa270_v12 in einer M400, M600 oder M900 verwendet wird
  • LANTIME-Firmware 6.24.023: Bedrohungsgrad kritisch

Aktualisierte Version:

  • LANTIME-Firmware: V7.00.006
  • LANTIME-Firmware: V6.24.024

  1. Beschreibung der Sicherheitsschwachstellen

    • Web-Interface

      • CVE-2018-10834 - Arbitrary File Read / Privilege Escalation (hoch)
        Admin- und Info -User konnten durch den Datei-Upload-Mechanismus (NTP → Schaltsekunde) Dateien auslesen, auf die nur der Root-User Zugriff hat. (gefunden von Michal Bazyli)
        Bereinigt ab:
        V7.00.002 MBGID-6927, 7038 und V6.24.024 MBGID-8872
        Workaround:
        Admin- und Info-Usern den Zugriff entziehen.

      • CVE-2018-10835 - Arbitrary File Upload / Privilege Escalation (hoch)
        Admin-User konnten durch den Datei-Upload-Mechanismus (NTP → Schaltsekunde) im Web-Interface Dateien austauschen, auf die nur der Root-User Zugriff hat. (gefunden von Michal Bazyli)
        Bereinigt ab:
        V7.00.002 MBGID-6927, 7039 und V6.24.024 MBGID-8872
        Workaround:
        Admin- und Info-Usern den Zugriff entziehen.

      • CVE-2018-10836 - Information Disclosure (gering)
        Info- und Admin-User konnten durch die "Eingeloggte Benutzer"- Funktion andere angemeldete Benutzer sehen. (gefunden von Michal Bazyli)
        Bereinigt ab:
        V7.00.002 MBGID-6927, 7046 und V6.24.024 MBGID-8872, 8877
        Workaround:
        Admin- und Info-Usern den Zugriff entziehen.

      • CVE-2020-7240 - Remote Code Execution (gering)
        Die vorgesehene Funktionalität, die der CVE-2020-7240 zu Grunde liegt, kann nur von Super-Usern, die Root-Rechte besitzen, genutzt werden. Andere authentifizierte Benutzer haben keine Möglichkeit im Webinterface Scripte zu erstellen. Aufgrund der hohen nötigen Privilegien ist derzeit keine Änderung der Funktionalität geplant.
        https://nvd.nist.gov/vuln/detail/CVE-2020-7240
        Workaround:
        Webinterface deaktivieren (HTTP/HTTPS deaktivieren).

      • NO-CVE1 - Stored-Cross-Site-Scripting nicht authentifiziert (kritisch)
        Durch den Anmeldedialog konnte von nicht authentifizierten Benutzern Java-Script-Code platziert werden, der vom Webserver über die Funktion "System → Systeminformationen → Systemmeldungen anzeigen" ausgeliefert wurde. (gefunden von Jakub Palaczynski)
        Bereinigt ab:
        V7.00.002 MBGID-6362 und V6.24.024 MBGID-8873
        Workaround:
        Webinterface deaktivieren (HTTP/HTTPS deaktivieren).

      • NO-CVE2 - Stored-Cross-Site-Scripting authentifiziert (hoch)
        Admin-User konnten über diverse Wege Java-Script-Code platzieren, der vom Webserver ausgeliefert wurde. (gefunden von Jakub Palaczynski)
        Bereinigt ab:
        V7.00.002 MBGID-7077, 7191, 7034 und V6.24.024 MBGID-8873
        Workaround:
        Admin-Usern den Zugriff entziehen.

      • NO-CVE3 - Reflected-Cross-Site-Scripting authentifiziert (mittel)
        Die Parameter der SyncMon- und XtraStats-Seite waren anfällig für Reflected-Cross-Site-Scripting-Angriffe. (gefunden von Jakub Palaczynski)
        Bereinigt ab:
        V7.00.002 MBGID-8285, 7150 und V6.24.024 MBGID-8873
        Workaround:
        Webinterface deaktivieren (HTTP/HTTPS deaktivieren).

      • NO-CVE4 - Privilege Escalation vom Admin- zum Super-User (hoch)
        • Admin-User durften Konfigurationen herunterladen, verändern und wieder hochladen (z.B. Veränderung der /etc/passwd möglich). (gefunden von Jakub Palaczynski)
          Bereinigt ab:
          V7.00.002 MBGID-7009, 6746 und V6.24.024 MBGID-8948
          Workaround:
          Admin-Usern den Zugriff entziehen.

        • Admin-User durften andere Firmware-Versionen aktivieren (Rücksprung auf V6 in der Konfigurationsänderungen möglich sind).
          Bereinigt ab:
          V7.00.002 MBGID-8430 und V6.24.024 MBGID-8949
          Workaround:
          Admin-Usern den Zugriff entziehen.

        • Admin-User durften den Auslieferungszustand wiederherstellen (Übernahme des Gerätes).
          Bereinigt ab:
          V7.00.002 MBGID-8430 und V6.24.024 MBGID-8949
          Workaround:
          Admin-Usern den Zugriff entziehen.

        • Admin-User konnten die zusätzliche Netzwerk-Konfiguration und die benutzerdefinierten Nachrichten einsehen in denen evtl. sicherheitsrelevante Informationen stehen können.
          Bereinigt ab:
          V7.00.002 MBGID-7081 und V6.24.024 MBGID-8951
          Workaround:
          Admin-Usern den Zugriff entziehen.

        • Admin-User durften andere externe Authentifizierungsserver eintragen, verändern und löschen.
          Bereinigt ab:
          V7.00.002 MBGID-8131, 8429 und V6.24.024 MBGID-8952
          Workaround:
          Admin-Usern den Zugriff entziehen.

        • Admin-User durften den privaten Schlüssel des SSL-Zertifikates herunterladen.
          Bereinigt ab:
          V7.00.002 MBGID-7038 und V6.24.024 MBGID-8953
          Workaround:
          Admin-Usern den Zugriff entziehen.

      • NO-CVE5 - Information Disclosure und evtl. Privilege Escalation vom Info- zum Super-User (hoch)
        Der Download der Diagnosedatei war für Info-User möglich, in der potenziell sicherheitsrelevante Informationen stehen (z.B. der Externe-Authentifizierungs-Schlüssel, um den Netzwerkverkehr zu entschlüsseln).
        Bereinigt ab:
        V7.00.002 MBGID-7152 und V6.24.024 MBGID-8866
        Workaround:
        Info- und Admin-Usern den Zugriff entziehen.

      • NO-CVE6 - Browser Cache weakness (mittel)
        Der Browser wurde nicht vom Webserver dazu angewiesen, aufgebaute Seiten aus dem Cache zu löschen (kein "Cache-Control: no-store" und "Pragma: no-cache"-Header gesetzt).
        Bereinigt ab:
        V7.00.002 MBGID-7024, 8767 und V6.24.024 MBGID-8868
        Workaround:
        Lighttpd Webserver-Konfiguration entsprechend manuell anpassen.

      • NO-CVE7 - veralteter Anti-Cross-Site-Scripting-Header gesetzt (gering)
        Der Webserver übermittelte anstatt des Content-Security-Policy-Header den veralteten X-Content-Security-Policy-Header.
        Bereinigt ab:
        V7.00.002 MBGID-7015, 7391, 8767 und V6.24.024 MBGID-8868, 8875
        Workaround:
        Lighttpd Webserver-Konfiguration entsprechend manuell anpassen.

      • NO-CVE8 - Cross-domain Referer leakage (mittel)
        Sicherheitsrelevante Informationen (das Cross-Site-Request-Forgery-Token) wurde in der URL übertragen (in V7 behoben). Außerdem hatten Links die Einstellung bzw. den Tag "noreferrer" nicht gesetzt (in V7 und V6 behoben).
        Bereinigt ab:
        V7.00.002 MBGID-7023, 7697 und V6.24.024 MBGID-8884
        Workaround:
        Webinterface deaktivieren (HTTP/HTTPS deaktivieren).

      • NO-CVE9 - Command Line Injection (hoch)
        In einigen Formularfeldern des SyncMon-Web-Interface war es möglich, dass Admin-User beliebige Befehle unter Root-Rechten ausführen konnten. (gefunden von Jakub Palaczynski)
        Bereinigt ab:
        V7.00.002 MBGID-7186, 7010, 7696 und V6.24.024 MBGID-8885, 8867
        Workaround:
        Admin-Usern den Zugriff entziehen.

      • NO-CVE10 - Information Disclosure Passwort-Felder (mittel)
        Die SNMPv1/v2-Community-Namen wurden im Web-Front-End in Klartext angezeigt. Das Schlüssel-Feld unter "System → Benutzer Administration → Authentifizierungsserver hinzufügen" war kein Passwortfeld.
        Bereinigt ab:
        V7.00.002 MBGID-7042, 7014, 8130 und V6.24.024 MBGID-8878
        Workaround:
        Webinterface deaktivieren (HTTP/HTTPS deaktivieren).

      • NO-CVE11 - Information Disclosure und evtl. Privilege Escalation (hoch)
        Die SNMPv3-Authentifizierungs-Passphrase konnte über die manuelle Konfiguration ("System → Dienste und Funktionen → Manuelle Konfiguration → Sonstige Konfiguration") von einem Admin-User eingesehen werden.
        Bereinigt ab:
        V7.00.002 MBGID-7082 und V6.24.024 MBGID-8876
        Workaround:
        Admin-Usern den Zugriff entziehen.

      • NO-CVE12 - Information Disclosure und evtl. Privilege Escalation (hoch)
        Der für die externe Authentifizierung verwendete Schlüssel konnte auch von einem Admin-User eingesehen werden, solange er sich in den "Aktuellen Konfigurationsänderungen" befand (mit anderen Worten: die aktuelle Konfiguration nicht als Startup-Konfiguration gespeichert wurde).
        Bereinigt ab:
        V7.00.002 MBGID-7040 und V6.24.024 MBGID-8901
        Workaround:
        Vor und während des Änderns sicherstellen, dass sich kein Admin-User anmelden kann.
    • System

    • TSU-Karten

      • NO-CVE13 - SSH-Standardschlüssel (kritisch)
        Ein SSH-Standardschlüssel ermöglichte den netzwerkseitigen Root-Zugriff auf TSU-Karten.
        Bereinigt ab:
        V7.00.002 MBGID-7591 und V6.24.022 für die TSU pxa270_v24 und TSU GbE (tegra20_v12_1ge)
        V7.00.006 MBGID-8412 und V6.24.024 MBGID-8869 für die TSU pxa270_v12
        Workaround:
        Nach der initialen Konfiguration denn ssh-authorized-key entfernen und die Hostschlüssel austauschen. Danach sind keine automatischen Updates der TSU-Karte mehr möglich.
  2. Betroffene Systeme

    Alle LANTIME-Firmware-Versionen vor V6.24.024 (bzw. V7.00.002) sind von den Schwachstellen betroffen mit Ausnahme der CVE-2019-1551 und NO-CVE13 die auch die Versionen vor V7.00.006 betreffen. Die LANTIME Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100) verwendet.

    Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.

  3. Mögliche Sicherheitsmaßnahmen

    Die Sicherheitspatches sind in den LANTIME-Firmware-Version V7.00.006 und V6.24.024 enthalten. Eine Aktualisierung auf diese Versionen behebt die gelisteten Sicherheitsschwachstellen mit der Ausnahme von CVE-2020-7240.

    Außerdem ist zu beachten, dass die Webserverkonfiguration zur Behebung von NO-CVE6 und NO-CVE7 in der Version 6 nicht automatisch aktualisiert wird. Um die Konfiguration auszutauschen, kann folgender Befehl auf der Kommandozeile ausgeführt werden.

    • LANTIME:
      sudo cp /mnt/firmware/fw_6.24.024/flash/firmware/OSV/packages/web/files/config/default/etc/http-global.conf /etc/http-global.conf ; sudo saveconfig; sudo restart http; sudo restart https
    • SyncFire:
      sudo cp /mnt/firmware/fw_6.24.024-sf1000/flash/firmware/OSV/packages/web/files/config/default/etc/http-global.conf /etc/http-global.conf ; sudo saveconfig; sudo restart http; sudo restart https

    Download der neusten LANTIME-Firmware unter:

    Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware auf die letzte Version 7.00.006 zu aktualisieren. Kunden die keine Möglichkeit haben 7.00.006 zu installieren, können auf die V6.24.024 zurückgreifen.

  4. Weitere Informationen

    Weitere Details und Informationen finden Sie in den LANTIME Firmware Changelogs und in den LTOS7 Release Notes:

    Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.

  5. Danksagung

    Wir möchten den unabhängigen Sicherheitsforschern Michal Bazyli und Jakub Palaczynski vielmals für Ihre Zusammenarbeit danken. Des Weiteren gilt unser Dank auch denen die nicht genannt werden wollten oder dies nicht explizit angaben.

    Vielen Dank!


Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact