"Eine Produkthaftpflicht würde sicher helfen"

14. Mai 2020 um 13:00
image

Securityforscher erheben schwere Vorwürfe an den SD-Wan-Hersteller Silver Peak. Dieser widerspricht. Schweizer Experten analysieren den Fall.

Silver Peak wird ein laxer Umgang mit Security-Fragen und im Umgang mit Securityforschern vorgeworfen, die im Rahmen von "Responsible Disclosure" handeln.
Ausgangspunkt der Recherchen bilden drei Vulnerabilities, die eine 9-köpfige Gruppe von SD-Wan-Security-Forschern an der Universität Tomsk unter dem Namen "SD-WAN New Hope" auf Github vor einigen Tagen publizierte. Dabei geht es um einen von Gartner gefeierten Hersteller von SD-Wan-Produkten, dessen Produkte mindestens zwei Schweizer Telcos einsetzen.
Lücke Nummer eins laut "SD-WAN New Hope": Die IPsec-UDP-Protokollimplementierung im Silver Peak EdgeConnect-Produkt biete nicht die behauptete "Perfect Forward Secrecy" (PFS), heisst es auf Github (PDF). Unter PFS versteht man, dass in einem Protokoll die verwendeten Sitzungsschlüssel nach der Beendigung der Sitzung nicht mehr aus den geheimen Langzeitschlüsseln rekonstruiert werden können.
Eine zweite, nach Ansicht der Forscher ebenso grosse Lücke sei, dass es keine Authentifizierung zwischen Orchestrator- und EdgeConnect-Geräten gebe. "Es ist möglich, eine Verbindung zwischen EdgeConnect- und Orchestrator-Geräten herzustellen, die zu verschiedenen SD-WAN-Netzwerken gehören", so die Forscher (PDF).
Drittens hätten die Forscher herausgefunden, dass es keine Authentifizierung zwischen dem Silver-Peak-Cloud-Portal im Internet und den EdgeConnect-Geräten der Kunden gebe. "EdgeConnect authentifiziert das Portal nicht. Das Portal kann jeden beliebigen Befehl auf EdgeConnect über die REST-API ausführen", heisst es im Summary der Publikation auf Github (PDF).
Die Lücken sind laut den Forschern schwerwiegend: "Aus unserer Sicht kompromittieren diese Schwachstellen die aktuelle EdgeConnect-Software vollständig. Die Schwachstellen zeigen, dass die Kryptographieschicht des Produkts durchbrochen ist, die Qualität des Sicherheitsmechanismus ist sehr gering," so Denis Kolegov, PhD, seit 14 Jahren ausserordentlicher Professor für Computersicherheit der Universität Tomsk.

"Alles, was Sie brauchen, ist ein Hacker mit Skript-Kiddy-Fähigkeiten"

Und wie schwer war es, die Vulnerabilities zu finden? Denis Kolegov erläutert: "Ehrlich gesagt, einige der von uns gefundenen Schwachstellen sind 'Low Hanging Fruits' und es ist sehr leicht, sie zu finden und auszunutzen. Sie brauchen keine Leute mit Fähigkeiten wie in Googles Project-Zero-Team einzustellen. Alles, was Sie brauchen, ist ein Hacker mit Skript-Kiddy-Fähigkeiten. Für andere Schwachstellen braucht es Know-How im Bereich von Kryptographie. Wir haben etwa zwei Wochen damit verbracht, die Schwachstelle im proprietären IPsec zu finden, weil wir einige Teile des Codes reverse engineeren und die Logik rekonstruieren mussten, haben dann aber innerhalb von 2 oder 3 Stunden 2 weitere Schwachstellen gefunden."
Kolegov fügt an: "Aus meiner Sicht können diese Schwachstellen die Sicherheit eines jeden Silver-Peak-Kunden vollständig gefährden. Darüber hinaus hat die dritte Schwachstelle gezeigt, dass ein Angreifer das Silver-Peak-Netzwerk und sein Silver-Peak-Portal kompromittieren und dann Kunden angreifen oder ein gefälschtes Portal im Internet bereitstellen kann (wie wir es taten), die EdgeConnect-Konfiguration ändern kann, und anschliessend den gesamte Kundennetzwerkverkehr über das Netzwerk des Angreifers weiterleiten kann." Dies bedeute, "dass Silver Peak nicht versteht oder verstehen will, wie man im Jahr 2020 sichere Software entwickelt," schreibt der Security-Forscher.

"Es dürften keine so schwerwiegenden Schwachstellen vorhanden sein"

Martin Leuthold, Leiter des Geschäftsbereichs "Security & Network" bei Switch, kennt den Fall nicht im Detail, aber äussert als persönliche Sicht: "Wenn ein Hersteller in der Software-Entwicklung wirklich systematisch 'secure' arbeitet im Sinne von DevSecOps, dann dürften eigentlich keine so schwerwiegenden Schwachstellen vorhanden sein."
Diese von den Forschern als kritisch eingestuften Lücken hätten sie nach den Regeln von "Responsible Disclosure" 90 Tage nach der Meldung publiziert, weil Silver Peak zuerst mit Unverständnis reagiert habe auf ihren Bericht, und ihnen dann versichert habe, es gebe einen Fix, heisst es aus Tomsk.
Und Kolegov kritisiert die Kommunikation der Firma mit den Forschern generell: "Im Jahr 2018 fanden wir viele Schwachstellen in der Web-Benutzeroberfläche von EdgeConnect und meldeten diese an Silver Peak. Wir haben keine Antworten auf unseren Bericht erhalten."
Bei den neuen Lücken wollten die Forscher dies nicht mehr hinnehmen und Kolegov wies am 17. Januar den Hersteller auch in einem Tweet darauf hin, man habe neue Lücken gemeldete. Er hielt öffentlich fest, dass "Silver Peak auch frühere Berichte völlig ignoriert hat".
Erst nach mehreren Tagen reagierte Silver Peak. Laut Kolegov haben die Zuständigen die Dimensionen entweder nicht begriffen oder nicht ernst genommen.
Das würde auf ein generelles Kommunikationsproblem von Silver Peak mit Security-Forschern hinweisen. Das stimme nicht, wehrt sich Kristian Thyregod, VP & GM, EMEA des Herstellers, auf Anfrage von inside-it.ch. "Silver Peak schätzt die fortlaufenden Bemühungen des SD-WAN-New-Hop-Teams, uns auf potenzielle Sicherheitslücken aufmerksam zu machen, und wir verfügen über einen etablierten Prozess zur Überprüfung, Behebung und Kommunikation solcher Entdeckungen."

"Fragliche Schwachstellen behoben"

Der übliche Prozess besteht darin, dass im Rahmen von "Responsible Disclosure" eine Schwachstelle oder ein Problem erst nach einem gewissen Zeitraum offengelegt wird. Dem Hersteller soll genügend Zeit bleiben, das Problem zu beheben oder einen Patch bereitzustellen. Google Project Zero respektiert zum Beispiel eine 90-tägige Offenlegungsfrist, die nach der Benachrichtigung der Anbieter über die Schwachstelle beginnt. "Speziell für diese Untersuchung hat Silver Peak die fraglichen Schwachstellen in seiner neuesten Softwareversion behoben", so Silver Peak auf Anfrage ohne zu erläutern, wann dies geschehen ist.
Zum Prozess bei Security-Lücken gehört auch, dass ein Hersteller eine CVE-Nummer beantragt, um Kunden und potentielle Kunden öffentlich vorzuwarnen, dass ein Problem erkannt ist.
Wann reagierte Silver Peak mit der Beantragung von CVE-Nummern? Offenbar erst drei Monate nach der Warnung aus Tomsk, wie ein uns vorliegendes E-Mail zeigt. Ganz neu, seit 23. April, ist der Hersteller nun auch CVE Numbering Authority und kann somit selbst CVE-Nummern vergeben. "Damit gibt es keine Entschuldigung dafür, dass sie für das erste Security Advisory noch keine Nummer veröffentlicht haben", sagt uns ein Schweizer Security-Experte. Er will nicht genannt sein, hat sich aber detailliert mit den drei aktuellen Silver-Peak-Vulnerabilities befasst.

Wann wurden Kunden informiert?

Hat die Firma alle Ihre Kunden über diese Mängel informiert? Einschliesslich aller betroffenen Schweizer Kunden? Zu welchem genauen Zeitpunkt? Silver Peak antwortet, man habe "direkt mit den EdgeConnect-Kunden kommuniziert, einschliesslich der Service-Provider-Partner, die Kunden über Managed SD-WAN-Dienste bedienen."
Wann die Kommunikation erfolgte, sagt Silver Peak nicht. In der Schweiz, so weiss inside-it.ch, wurden mehrere Kunden nicht zuerst von der Firma selbst informiert, sondern Mitte April auf anderen Wegen unter "TLP AMBER" in einer Closed-User-Group, und dies nach einem Hinweis eines unabhängigen Security-Experten, nicht des Herstellers.
Üblicherweise schaffen Hersteller auch Transparenz, indem sie alle Security-Advisories auf ihrer Corporate Website publizieren, wo auch potentielle Kunden oder Journalisten sie sehen könnten. Bei Silver Peak stellte inside-it.ch ein Delta zwischen der Corporate Website und cvedetails.com fest, diverse bekannte Lücken waren nicht aufgeführt. Die Frage an den Kolegov: Vermittelt Silver Peak aus der Sicht eines Aussenstehehenden den Eindruck von mehr Sicherheit, als vorhanden ist? "Silver Peak erweckt aus Sicherheitsperspektive den Eindruck, ein unreifes Unternehmen zu sein, das unsichere Produkte entwickelt", schreibt der Security-Forscher der Universität Tomsk. "Silver Peak hat die neuesten Sicherheitshinweise im Supportbereich unserer Website veröffentlicht", antwortet der Herstellersprecher Thyregod auf unsere Frage knapp und ohne zu sagen, wann.
In der Tat, am vierten Mai, dem Tag unserer Anfrage und mehrere Tage nach der Publikation durch die Tomsker "SD-WAN New Hope" bezüglich der drei Lücken, publizierte Silver Peak die drei Advisories samt CVE-Nummern. Laut Hersteller sind die Lücken nicht als kritisch einzustufen, sondern höchstens als "Medium" (Base Score 6.0). Die Einschätzung des Base Score von NIST auf der "National Vulnerability Database" steht noch aus.
Wie schätzt Leuthold dieses Vorgehen ein? "Ich erwarte eine andere Reaktion: Eine schnelle Rückmeldung an die Forscher, einen klaren Prozess für die Behandlung von 'Responsible Disclosure', gleichzeitig konstruktive Zusammenarbeit mit den Forschern für die Mitigation dieser Schwachstellen und Lücken. Hinzu kommt Transparenz gegenüber den Kunden", so seine persönliche Meinung.
Thyregod sagt: "Silver Peak hat sich voll und ganz verpflichtet, seinen Kunden der Unity EdgeConnect SD-WAN-Edge-Plattform ein Höchstmass an Softwarequalität und -sicherheit zu bieten". Als CVE-Numbering Authority halte man sich "an konsistente und disziplinierte Verfahren zur vollständigen Untersuchung und Behebung von Sicherheitslücken in unserer Software, wann immer diese auftreten könnten."
Leuthold ist kritisch: "Aufgrund der angeführten Fakten ist Silver Peak für mich ein schlechtes Beispiel für den Umgang mit 'Responsible Disclosure' von Security Forschern. Vor 10 Jahren war solches Verhalten noch für viele Hersteller normal, heute zum Glück nicht mehr. Aber es gibt leider immer noch Hersteller, welche so agieren oder Forschern sogar mit Rechtsmitteln drohen."
Den generellen Umgang von Silver Peak mit Security könne er nicht bewerten, er habe dazu nicht die nötigen Informationen zum internen Informationssicherheits-Management der Firma. Kolegov bilanziert trocken: "Die Schwachstellen sprechen für sich." Und er glaubt: "Was wir gefunden haben, ist die Spitze des Eisbergs."
Security-Experten sind sich einig, dass sich viele Hersteller in den letzten Jahren positiv entwickelt haben: Leuthold nennt als ein Beispiel Microsoft und Kolegov sagt, Citrix zeige sich offen gegenüber der Community.

FIPS-Zertifizierung für gute Kryptographie wertlos?

Leuthold fügt an, man dürfe "je länger desto mehr" von ICT-Herstellern erwarten, dass sie zudem proaktiv ein Bug-Bounty-Programm etablieren. Die SD-Wan-New Hope-Forscher hatten gar kein Bug-Bounty angestrebt, da Silver Peak nach ihrem Wissen kein solches hat.
Die drei Vulnerabilities  stellten auch den Wert von FIPS-Zertifizierungen in Frage, denn diese sollte sichere Kryptographie zertifizieren. Die lückenhafte Unity EdgeConnect SD-WAN Edge Platform hatte im März, also nach den Entdeckungen der Tomsker Security-Forscher, die FIPS 140-2-Zertifizierung für die Qualität der Verschlüsselung erhalten.
Der anonym bleiben wollende, ausgewiesene Schweizer Security-Spezialist bestätigt, was andere Experten sagen: Der Hersteller Silver Peak ist nur ein Beispiel von mehreren, man sollte über eine Art Produkthaftpflicht für Hersteller diskutieren. Leuthold präzisiert: "Dies würde sicher helfen. Zumindest in Fällen von Grobfahrlässigkeit oder sogar Vorsatz. Den Fall hier würde ich dabei als 'Grobfahrlässigkeit' einstufen. Allerdings dürfte es nicht ganz einfach sein, einen entsprechenden gesetzlichen Rahmen vernünftig zu formulieren. Zudem müsste das in mindestens einem grossen Wirtschaftsraum (z.B. EU) gemeinsam geschehen, um wirklich Wirkung zu entfalten. Ein Alleingang der Schweiz ist hier undenkbar und würde zu Nachteilen für unser Land führen." Mutmasslich würden gewisse Hersteller keine "Lösungen" mehr in die Schweiz liefern.
Aber, so Leuthold, eine Produkthaftpflicht könnte zu einer Verteuerung der Produkte führen, damit die Innovation in der Schweiz auch abwürgen und Nachteile für hiesige Hardware- und Software-Hersteller zur Folge haben.

Loading

Mehr zum Thema

image

Wurde Lockbit zerschlagen?

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

publiziert am 20.2.2024
image

Millionen-Kopfgeld auch für Chefs der Alphv-Bande

Nach Hive nimmt die US-Regierung eine weitere Ransomware-Bande ins Visier. Sie hatte in der Schweiz unter anderem Bernina attackiert.

publiziert am 19.2.2024
image

Schwachstellen der deutschen E-ID gibt es auch bei Schweizer Lösung

Aufgrund einer Sicherheitslücke kann die deutsche E-ID dazu genutzt werden, um unter fremdem Namen ein Bankkonto zu eröffnen. Nach aktuellem Stand wäre dies auch beim digitalen Pass der Schweiz möglich.

publiziert am 19.2.2024 1
image

Podcast: Wie geht es Xplain 8 Monate nach dem Cyberangriff?

Anfang Monat hat sich Xplain erstmals öffentlich zum Hackerangriff geäussert. Wenige Tage danach kündigte der Kanton Waadt den Vertrag mit dem Unternehmen. Wir reden darüber, was das bedeutet und wie es weitergeht.

publiziert am 16.2.2024