Artykuły dotyczące tematu: Barracuda Network

dodany: 25.07.2013 | tagi: , , , ,

Luka w serwerach Barracuda

3

W urządzeniach firmy Barracuda Networks odkryto poważną lukę, która pozwala na odczytanie haseł wszystkich użytkowników serwera. Problem ten odkrył Ebrahim Hegazy.

Słabość w zabezpieczeniach pojawia się w przypadku, gdy chcemy zwiększyć poziom zabezpieczeń, wprowadzając dwuetapowe uwierzytelnianie. W urządzeniach Barracuda można to zrobić na kilka sposobów – jednym z nich jest odpowiednia konfiguracja plików .htaccess oraz .htpasswd. 

Sęk w tym, że w tym wypadku .htpasswd powinien znajdować się poza webowym katalogiem, tj. każdym innym niż główny (np. C:\Dowolny\.passwd). Niestety w przypadku Barracudy, plik ten znajduje się wewnątrz katalogu z panelem administracyjnym.

Powyższy fakt daje każdemu możliwość na bezpośrednie odwołanie się do pliku z hasłami przez następujący adres:

Odwołanie to daje bezpośredni dostęp do wszystkich haseł użytkowników serwera Barracuda. Dlaczego? Ano dlatego, że plik ten zawiera hasła w otwartej postaci.:

Przykładowa zawartość pliku .htpasswd (źródło TheHackerNews)

Przykładowa zawartość pliku .htpasswd (źródło: TheHackerNews).

Odkrywca problemu zgłosił tę lukę producentowi, a ten wydał już stosowną poprawkę, dlatego wszyscy administratorzy urządzeń Barracuda Networks powinni ją zainstalować.