Das Unternehmen Sec Consult hat eine kritische Sicherheitslücke in der Firewall GeNUGate der GeNUA mbH entdeckt. Die Lücke mit der CVE-ID CVE-2021-27215 ist unter bestimmten Voraussetzungen aus der Ferne und ohne jegliche Authentifizierung ausnutzbar. Angreifer könnten sich als beliebiger Nutzer – auch als Root – anmelden und so die vollständige Kontrolle übernehmen. Der Angriff basiert auf der Manipulation von HTTP-POST-Parametern im Zuge des Anmeldeprozesses.
Der Hersteller hat bereits Anfang vergangenen Monats Patches für verwundbare Firewall-Versionen bereitgestellt; im Zuge der verantwortungsvollen Offenlegung hat Sec Consult aber erst jetzt Informationen zu CVE-2021-27215 veröffentlicht. Darin raten die Sicherheitsforscher zum sofortigen Update, soweit noch nicht geschehen. Auch das Bundesamt für Sicherheit in der Informationstechnik BSI hat einen entsprechenden Warnhinweis veröffentlicht und bewertet die Gefahr mit der höchstmöglichen "Risikostufe 5" (sehr hoch).
Angriff mit Einschränkungen (?)
Die GeNUGate Firewall wurde für den Einsatz in Umgebungen mit besonders hohem Schutzbedarf konzipiert und ist unter anderem vom BSI für den Einsatz bis zum Geheimhaltungsgrad "VS – Nur für den Dienstgebrauch" (VS-NfD) zugelassen. In solchen Umgebungen sollte der Remote-Angriff via CVE-2021-27215 übrigens mit Einschränkungen verbunden sein: Er funktioniert "nur", wenn der Angreifer Netzwerkzugriff auf das Admin-Interface, das Side Channel Web oder das User Web Interface der Firewall hat.
Zumindest das erstgenannte Interface sollte laut Herstellerempfehlung grundsätzlich nicht über das Internet erreichbar sein. Bezüglich der Anforderungen zur physikalischen Abschottung zum Side Channel und User Web Interface machte der Hersteller auf Anfrage von Sec Consult keine Angaben. Letztlich ist es in jedem Fall ratsam, die Patches zügig anzuwenden.
Verwundbare Versionen und Update-Hinweise
Gegenüber heise Security gab Sec Consult an, das CERT des BSI vorab informiert zu haben; auch das BSI habe bereits eine interne Warnmeldung an den Bund herausgegeben. Darüber hinaus habe die GeNUA mbH ihre Kunden direkt kontaktiert.
Laut Sicherheitshinweis von Sec Consult sind GeNUGate-Versionen vor 10.1 p4, vor 9.6 p7 und vor 9.0/9.0 Z p19 angreifbar. Abgesichert sind GeNUGate 10.1 p4 (G1010_004), 9.6 p7 (G960_007), 9.0 und 9.0 Z p19 (G900_019). Die Patches können direkt über das Firewall-GUI oder mittels des Aufrufs "getpatches" über die Kommandozeile heruntergeladen werden. Für weitere Informationen verweist Sec Consult auf GeNUAs Support-Website.
Quelle: Version checken: "High Resistance"-Firewall GeNUGate barg kritische Lücke | heise online