Barracuda WAF: Kritische Sicherheitslücken ermöglichen Umgehung des Schutzes
Barracuda hat einen Sicherheitshinweis bezüglich der Web Application Firewall veröffentlicht. Sicherheitslücken ermöglichen das Umgehen des Schutzes.
(Bild: Thapana_Studio/Shutterstock.com)
Barracuda hat aktualisierte Firmware für die Web Application Firewalls bereitgestellt. Insgesamt sieben Schwachstellen behebt die neue Software, die teils eine Risikoeinstufung als "kritisch" erhalten haben. CVE-Einträge stehen jedoch noch nicht bereit.
Der Sicherheitshinweis von Barracuda erläutert, dass Angreifer den Datei-Upload-Schutz im Blockmodus sowie JSON-Sicherheitsfunktionen durch bestimmte, Workflows genannte Wege umgehen können. Für die erste Sicherheitslücke haben Barracudas Entwickler gleich vier Möglichkeiten beschrieben, den Datei-Upload-Schutz auszutricksen. Sie basieren allesamt darauf, eine andere Upload-Methode als HTTP POST zu verwenden, etwa HTTP PUT. Standardmäßig ist die PUT-Methode jedoch nicht zugelassen, erläutern die Entwickler.
Barracuda WAF: Auch JSON-Schutz umgehbar
Verwenden bösartige Akteure hingegen HTTP-Methoden, die nicht explizit in JSON-Sicherheitsrichtlinien hinterlegt sind, können sie auch diesen Schutz umgehen. Standardmäßig ist bei der Standard-JSON-Sicherheitsrichtlinie die POST-Methode voreingestellt. Sofern in den Website-Profileinstellungen die HTTP-Methode festgelegt ist, beschränkt sie sich auch auf diese Methode.
Im Sicherheitshinweis erläutern die Entwickler die Schwachstellen detaillierter. Betroffen sind Barracuda WAFs mit den Firmware-Versionen 11.x, 12.0 und 12.1. Die Aktualisierung auf die Firmware 12.2 bügelt die Fehler Barracuda zufolge aus. Zudem sind noch weitere Konfigurationsänderungen zum vollständigen Schließen der Lücken nötig.
Anfang des Jahres wurde eine Lücke in Barracudas E-Mail Security Gateway (ESG) bekannt, die das Einschleusen von Schadcode ermöglicht. Der Hersteller hatte dafür Patches bereitgestellt und ausgerollt. Mitte vergangenen Jahres musste Barracuda zahlreiche ESGs austauschen, weil es für aktiv angegriffene Sicherheitslücken darin keine ausreichend wirksamen Updates gab. Selbst das FBI warnte vor den unwirksamen Updates und empfahl, die Appliances sofort zu entfernen.
Aufgrund eines Leserhinweises haben wir ergänzt, dass auch Konfigurationsänderungen zum korrekten Ausbessern der Schwachstellen vorzunehmen sind.
(dmk)
