Final de semana agitado (parte 1)

Essa semana que passou foi agitada no mundo da (in)Segurança da Informação.

Pra começar os trabalhos, na quinta-feira /* dia 24/01 */ uma empresa de consultoria em segurança sediada na Áustria divulgou /* depois de ter avisado o vendor */ uma backdoor que atinge quase todos os produtos da Barracuda Networks.

Pra quem não sabe, a Barracuda é uma empresa que fornece soluções de segurança como: Firewall, Filtro de Conteúdo Web, Filtro de Spam, Load Balancer, SSL VPN, WAF, entre outras coisas. É /*auto*/ reconhecida como uma das grandes do mercado de segurança. Particularmente, tive a experiência de administrar um cluster de Barracuda Spam and Virus Firewall /* aka filtro de spam */ e, apesar dos pesares, ele cumpria seu papel no bloqueio de mensagens indesejadas. Mas essa backdoor derrubou a Barracuda no meu conceito.

A falha consiste de contas de usuários (não documentadas) que podem ser usadas para loggar remotamente via SSH (port 22) nos appliances combinadas com uma regra de iptables mal-feita /* aka preguiça */ que permite o acesso a partir de um range privado e público de IPs /* incluindo IPs que não pertencem à Barracuda */.

Na prova de conceito, os pesquisadores conseguiram ganhar o shell da máquina logando com o usuário "product" e, posteriormente, obtiveram acesso ao banco MySQL /*senha fraca*/.

A Barracuda divulgou a falha, classificando-a como média e lançou uma atualização de correção. A "desculpa" é que as contas /* 'root', 'build', 'shutdown', 'product', 'ca', 'support', 'web_support', 'qa_test' */ eram para facilitar o suporte remoto aos produtos.

Reflexão 1: Ninguém está seguro, nem mesmo com produtos /*caros*/ líderes do mercado.
Reflexão 2: Até que ponto vale sacrificar a segurança em nome do suporte?

May The Force be with You.