Beveiligingsapparatuur helpt hackers een handje

FireEye Security devices zo lek als een mandje.

Er zijn twee zeer gevaarlijke lekken ontdekt in de apparaten van FireEye. Via kwaadaardige .JAR bestanden is het mogelijk root- of superuser-privileges te krijgen en al het netwerkverkeer te monitoren en wijzigingen aan te brengen aan de firmware.

Het is extra zuur dat juist deze apparaten op zo'n manier aangevallen kunnen worden aangezien deze worden ingezet om malware, virussen en spyware buiten de deur te houden. FireEye-apparaten worden vaak ingezet bij grote bedrijven en scannen al het inkomende en uitgaande netwerkverkeer op malware.




Kwaadaardige .JAR bestanden

Aanvallers maken misbruik van deze werkwijze door een kwaadaardig .JAR-bestand naar het netwerk te sturen (bijvoorbeeld als bijlage in een e-mail). De FireEye-appliance scant de mail voordat deze toegelaten wordt op het netwerk en dat is waar de .JAR z'n werk doet.

Deze wordt, door het lek in de Malware Input Processor, automatisch uitgevoerd. Het erge van dit lek is dus dat er helemaal geen input van gebruikers nodig is. Het mailen van het bestand of het lokken van gebruikers naar een site waar het malafide bestand zich bevindt is voldoende.



Bovendien is het na besmetting mogelijk de firmware aan te passen waardoor het heel makkelijk wordt al het verkeer te monitoren en het volledige netwerk te doorzoeken. De apparaten maken namelijk gebruik van een tweede internet-verbinding die wordt ingezet om firmware-updates binnen te halen. Deze kan via het lek gebruikt worden om backdoors toe te voegen.

Het lek is ontdekt door Tavis Ormandy en Natalie Silvanovich van Google's project Zero. Een project dat is opgezet om zero-day bugs in soft- en hardware te ontdekken en onderzoeken. FireEye heeft inmiddels gereageerd en heeft een patch uitgebracht. Het bedrijf verzoekt iedereen zo snel mogelijk hun apparaten te updaten.