Спецпроекты

Barracuda использует скрытые учетные записи для поддержки своих клиентов

Безопасность Стратегия безопасности Техническая защита Администратору

В ряде защитных продуктов производства компании Barracuda Networks, включая файерволлы, спам-фильтры и VPN-устройства, обнаружены недокументированные учетные записи в ОС. Об этом в своем блоге сообщил специалист по информационной безопасности Брайан Кребс (Brian Krebs). Примечательно, что к данным «скрытым» учетным записям возможен удаленный доступ с определенных IP-адресов, закрепленных непосредственно за Barracuda. Однако в действительности они могут быть доступны (через SSH-соединение) для сотен других компаний — к такому выводу пришли эксперты SEC Consult Vulnerability Lab.

Кроме того, экспертами было установлено, что, используя в качестве логина «product», можно легко, без необходимости вводить пароль, получить доступ к базе данных MySQL (root@localhost) устройств Barracuda, что, в свою очередь, позволит потенциальному злоумышленнику создать в системе новые учетные записи с правами администратора. Специалистами SEC Consult Vulnerability Lab был также обнаружен файл, содержащий список учетных записей и хэшированных паролей, часть которых легко поддалась взлому.

В Barracuda пока никак не прокомментировали результаты исследований SEC Consult Vulnerability Lab. Однако компания выпустила обновление безопасности, призванное сократить число учетных записей, которые можно использовать для удаленного конфигурирования, до двух и сделать обязательным применение криптографической системы с открытым ключом. Примечательно, что данное обновление никак не ограничивает удаленный доступ к учетным записям с правами администратора, для чего не требуется обмен ключом шифрования, а также обходит стороной проблему потенциального использования IP-адресов Barracuda другими организациями для доступа к «скрытым» учетным записям в ОС целого ряда продуктов компании — Barracuda Web Filter, Message Archiver, Web Application Firewall, Link Balancer и SSL VPN.

По данным SEC Consult, в Barracuda заявили о том, что данные учетные записи «важны для поддержки клиентов». По оценкам экспертов Vulnerability Lab, недокументированные учетные записи применялись Barracuda в качестве одного из каналов техподдержки по меньшей мере с 2003 г.