Lenovo Netzwerk-Switches mit Backdoor

SicherheitKurze Meldung für Administratoren in Firmen, bevor Montag die Woche wieder los geht. Lenovo hat in seinen Netzwerk-Switches eine Backdoor gefunden, es besteht Handlungsbedarf.


Anzeige

Ich denke, im Privatbereich dürfte das Thema, wie die hier angebotenen Netzwerk-Switches, eher keine Rolle spielen. In Firmen siehe es dagegen möglicherweise anders aus. Dort werden RackSwitch- und BladeCenter-Netzwerk-Switches mit ENOS (Enterprise Network Operating System) von Lenovo und IBM eingesetzt.

Backdoor seit 2004

Die Sicherheitslücke wurde im Rahmen von Sicherheitsaudits von chinesischen Lenovo Ingenieuren in der ENOS-Firmware der RackSwitch- und BladeCenter-Netzwerk-Switches gefunden.

ENOS, oder Enterprise Network Operating System, ist die Firmware, die auf einigen Lenovo und IBM RackSwitch- und BladeCenter-Switches installiert ist.

Geräte mit CNOS (Cloud Network Operating System) sind allerdings nicht betroffen

Die Geschichte wirft dabei mal wieder ein Schlaglicht auf den Kram, den uns die Industrie als brandneu andient. Die Geschichte geht nämlich so: Die Chinesen waren in den letzten Jahren fleißig auf Einkaufstour. Dabei hat man sich auch bei IBM bedient, die (mutmaßlich Insolvenz-)Reste von Nortel Networks im Portfolio hatten. Konkret waren dies die Geräte, die von der Nortel Blade Server Switch Business Unit (BSSBU) betreut wurden. Dort haben Entwickler die ENOS-Firmware im Zeitraum May 2004 bis Juni 2004 modifiziert und die Backdoor eingebaut.

Anmerkung: Das mit dem 'aus den Insolvenz-Resten' bedient, war von mir erst so ein Gedanke, da mit die Insolvenz von Nortel noch im Gedächtnis war. Die Kollegen bei heise.de haben hier aber noch einige Details ausgegraben. So wurde die Nortel Blade Server Switch Business Unit im Jahr 2006 als Blade Network Technologies (BNT) ausgegliedert (Nortel ging 2009 insolvent). BNT gab im Jahr 2010, laut heise.de, an, keine Geschäftsbeziehungen zu Nortel mehr zu unterhalten und die Produkte wären Eigenentwicklungen. Der (Saft-)Laden wurde 2010 nämlich an IBM verkauft – und lief dann unter BLADE weiter. IBM hat das dann 2014 an Lenovo verscherbelt. Ohne die Infos von heise.de hätte ich das nicht mehr auf die Reihe bekommen, da ich die Insolvenz von Nortel nur am Rande verfolgt habe (Leute aus der Bekanntschaft waren betroffen). 2017 haben die bei Lenovo dann mal genauer nachgeschaut, was sie da im Portfolio haben und einen Audit des Quellcodes der Firmware angesetzt.

Lenovo behauptet, Nortel habe den Einbau der Hintertür "auf Wunsch eines BSSBU OEM-Kunden" genehmigt. In einem Sicherheitshinweis zu diesem Thema verweist Lenovo auf die Hintertür unter dem Namen "HP Backdoor".

Bei "HP Backdoor" handelt es sich um einen Authentifizierungs-Bypass-Mechanismus, der während eines Lenovo Security Audits in den Management-Schnittstellen der Telnet- und Serial Console sowie der SSH- und Web-Management-Schnittstellen entdeckt wurde. Allerdings ist dieser Bypass nur unter bestimmten eingeschränkten und unwahrscheinlichen Bedingungen möglich.

Sicherheitshinweise und Update von Lenovo

Lenovo hat hier entsprechende Sicherheitshinweise in englischer Sprache veröffentlicht. Die ENOS-Schnittstellen und Authentifizierungskonfigurationen sind anfällig in folgenden Funktionen:

  • Telnet und serielle Konsole: Bei der Durchführung der lokalen Authentifizierung oder einer Kombination aus RADIUS, TACACS+ oder LDAP und lokaler Authentifizierung unter bestimmten, im Folgenden beschriebenen Umständen.
  • Web: Wenn eine Kombination aus RADIUS oder TACACS+ und lokaler Authentifizierung in Kombination mit einer unwahrscheinlichen Bedingung unter bestimmten, nachfolgend beschriebenen Umständen durchgeführt wird.
  • SSH: Für bestimmte Firmware-Varianten, die in den Monaten Mai 2004 bis Juni 2004 (nur) veröffentlicht wurde, wenn eine Kombination aus RADIUS oder TACACS+ und lokaler Authentifizierung unter bestimmten, nachfolgend beschriebenen Umständen durchgeführt wird;

Der verwundbare Code ist auch in neuerer Firmware noch vorhanden, wird aber nicht mehr verwendet. Andere Schnittstellen und Authentifizierungskonfigurationen sind für dieses Problem nicht anfällig:

  • SSH in der Firmware, die nach Juni 2004 veröffentlicht wurde, sind nicht anfällig.
  • SSH und Web, die nur eine lokale Authentifizierung verwenden, sind nicht anfällig.
  • SSH-, Web-, Telnet- und serielle Konsole, die LDAP, RADIUS oder TACACS+ ohne lokale Authentifizierung verwenden, sind nicht anfällig.
  • Andere Management-Schnittstellen, wie z.B. SNMP, sind nicht anfällig.

Die Existenz dieser Mechanismen, die die Authentifizierung oder Autorisierung umgehen, ist für Lenovo inakzeptabel und folgt nicht der Produktsicherheit oder den Branchenpraktiken von Lenovo, so der Hersteller. Lenovo hat die Backdoor aus dem ENOS-Quellcode entfernt und aktualisierte Firmware für betroffene Produkte veröffentlicht.


Anzeige

Lenovo ist nicht bekannt, dass dieser Mechanismus ausgenutzt wird, geht aber davon aus, dass seine Existenz bekannt ist. Kunden wird empfohlen, ein Upgrade auf die neue Firmware durchzuführen, wodurch die Backdoor eliminiert wird. Weitere Details sind dieser Lenovo-Seite zu entnehmen. Dort erfährt man auch, was zu tun ist, wenn man die Firmware nicht sofort updaten kann. Die Schwachstelle hat inzwischen die CVE-2017-3765 erhalten. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Netzwerk, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.