Die Forscher von Googles Project Zero haben sich wieder einmal auf die Suche nach Lücken begeben, und sind ausgerechnet beim Sicherheitsdienstleister Fireeye fündig geworden. Dessen Netzwerk-Appliances enthalten nämlich eine Lücke, die die Entdecker als "Albtraum-Szenario" beschreiben.

Maileingang

Über eine simple E-Mail kann ein Angreifer vollständige Kontrolle über eines der betroffenen Geräte erlangen. Angriffspunkt ist ein Fehler in Jode, einem von Fireeye bei seinem Malware-Scan genutzten Tool zur Analyse von Java-Dateien.

Ablauf

Den Forschern gelang es über dieses eigenen Code zur Ausführung zu bringen und in Folge eine Remote Shell zu öffnen, um von außen Zugriff auf das System zu erhalten. Über eine zweite – bisher noch nicht öffentlich gemachte – Lücke, gelang es dann auch noch Root-Rechte auf dem System zu erlangen, die Übernahme war also an dieser Stelle komplett.

Update

Von diesem Fehler sind laut Google alle Geräte der NX, FX, AX und EX-Serien von Fireeye in ihrer Default-Konfiguration betroffen. Der Hersteller hat mittlerweile ein Update veröffentlicht, alle Kunden entsprechender Geräte sollten entsprechend die installierte Softwareversion checken. Die Versionen ab 427.334 sind sicher, alle anderen sollten dringend aktualisiert werden, immerhin lässt sich über diesen Angriff der gesamte Netzwerk-Traffic mitlesen.

Lob und Kritik

Project Zero lobt in dem Blogposting die schnelle Reaktionszeit von Fireeye, innerhalb von zwei Tagen sei das Problem gelöst gewesen. Gleichzeitig lässt man aber auch grundlegende Kritik durchklingen. So werde das verwendete Jode bereits seit dem Jahr 2004 nicht mehr gewartet. Bei anderen Dateitypen sehe die Situation kaum besser aus, insofern ist wohl davon auszugehen, dass noch ähnliche Lücken existieren.

Zudem sei das von dem Unternehmen genutzte Scan-Konzept an sich äußerst riskant, weil hier ein einziger Fehler in den für unterschiedliche Dateitypen genutzten Tools schnell verheerende Auswirkungen haben kann. Externe Sicherheitsexperten werfen etwa die Frage auf, warum die Analyse nicht zumindest in einer Sandbox vorgenommen wird, wenn man schon einfach irgendwelche Tools zusammenträgt.

Vulnerability of the Beast

Bei dem aktuellen Bug handelt es sich übrigens bereits um die 666. vom Project Zero aufgespürte Sicherheitslücke. Neben den Programmen anderer Hersteller hat sich das Team zuletzt auch verstärkt Google-eigener Software wie Android zugewandt. (apo, 17.12.2015)