Aktuelle Bugs/Lücken in Kerio 2.1.5

#1 Mein Thema sind AKTUELLE Bugs/Angriffmöglichkeiten in der alten Kerio 2.1.5. Bin auch auf (wenige) gute Links gestossen, wie auch dieser hier zum Forum. Allerdings sind die meisten Meldungen über akute Sicherheitslöcher diesbezüglich recht alt oder nicht vollständig (z.B. nur eigene gefundene Lücken werden angegeben).

Mich würde nun interessieren, ob jemand irgendwelche Bugs/Vulnerability-Berichte im Netz für die gute alte Kerio 2.1.5 kennt (mit Quelle), die sich aus der "Neuzeit" (ab 2005) ergeben haben... oder so alte HAMMER aus der "Vorzeit", die auch nicht jedem ersichtlich geworden sind!


Grund: Z.B. eine im Secunia-Link (siehe unten) genannten Lücke kann man schliessen, indem man die "Remote Administration" nicht aktiviert. Da die alte Kerio nicht mehr aktualisiert wird, wäre es manchmal nützlich zu wissen, was sich daraus für Risiken ergeben, die man manchmal mit einfachen Mitteln beheben kann und somit den Aktualitätsgrad der Kerio an den "aktuellen" Stand bringt.

Quellen:

1.
http://secunia.com/product/1493/#advisories


2.
http://www.issociate.de/board/post/184295/Huge_security_hole_in_Kerio_2.1.5.html

Dieser Bug lässt mich mit anderen Augen auf die alte Kerio blicken... Der "Bericht" behandelt den -unprotokollierten/unkontrollierbaren- Transfer von fragmentierten Paketen (TCP/UDP) durch die Firewall hindurch...

Zitat:
"If the UDP packet targets a Windows service that is vulnerable it gets infected... I am talking about a
normal let's say slammer UDP packet that would go through your Kerio
unharmed. So if you install your Windows from CD and then your Kerio as
firewall before you go online to maybe download windows updates (which
you think you won't need as you have your Kerio, don't you?) during this
time someone may send you a fragmented UDP packet and infect your
machine THROUGH Kerio, without any notice at all..."






Auf denn...

#2 Ich habe das Problem so gelöst, dass ich zusätzlich zur Kerio PF 2.15 die WinXP-Firewall aktiviert habe, welche in erster Linie für den (unnötigen) Schutz nach draußen zuständig ist und auch die fragmentierten Pakete abfängt, während die Kerio aufpasst, wer bzw. was raus will. Ist zwar alles etwas doppelt gemoppelt, scheint aber gut zu funktionieren, bisher zumindest hatte ich noch kein Problem damit. Hat noch jemand Erfahrung mit dieser Kombination?

Ich probiere hin und wieder andere Firewalls aus, bin aber bis jetzt immer wieder reumütig zur KPF 2.15 zurückgekehrt, diese hat einfach das beste Handling und frisst dabei kaum Systemresourcen. Letztens habe ich mal die Jetico PF installiert, die hat sich aber nicht lange auf meinem System gehalten, da sehr umständlich zu konfigurieren und außerdem fehlerhaft (hat einige laufende Programme nicht registriert). Wird aber vielleicht nochmal irgendwann was... KPF 4, Sygate, Outpost, Norton, Norman, Lock'n'Stop, ZA gefallen mir jedenfalls alle nicht. Wozu brauche ich Webfilter und Popup-Blocker in der Firewall? Ist alles Sache des Browsers.

Gruß, Agent

#3 @Dr. Octagon

Zitat

Secunia Advisory: SA8663
Release Date: 2003-04-25
Last Update: 2004-09-14

Not critical
Impact: Security Bypass

The problem is caused due to an access control error. The default firewall ruleset accepts any incoming UDP traffic from port 53, which makes it possible for a malicious person to port scan a system for listening UDP services and communicate with these by using port 53 as source port.

Eine einfache Lösung ist die IPs der DNS-Server im Ruleset einzutragen zu welchen eine Verbindung überhaupt erlaubt wird.

Zitat

Dieser Bug lässt mich mit anderen Augen auf die alte Kerio blicken... Der "Bericht" behandelt den -unprotokollierten/unkontrollierbaren- Transfer von fragmentierten Paketen (TCP/UDP) durch die Firewall hindurch...

Zwar ist das eine sehr kritische Lücke, zumindest theoretisch denn in der Praxis wurde sie kaum ausgenutzt.
Man könnte sie auch schließen indem man ansprechbare Dienste abschaltet, allerdings bleibt dann die Frage offen:
Wofür brauche ich noch eine Firewall?
Um ausgehende Verbindungen zu kontrollieren werden viele antworten.
Die Kontrolle über ausgehende Verbindungen ist allerdings bei keiner Firewall perfekt, bei der KPFW 2.1.5 schon lange nicht.

Wieso wird dann diese FW denn so oft empfohlen?
Ich empfehle sie auch gerne weil:
- sehr ressourcenschonend
- regelbasiert (lernen anhand der FW)
- nicht mit unnötigen Schnickschnack für Dummies aufgebläht
Dabei immer daran denken dass:
- eine sichere Konfiguration des BS sollte immer oberste Priorität haben unabhängig davon ob man eine PFW benutzt oder auch nicht.
- ausgehende Verbindungen u.U auch unbemerkt von der FW den Rechner verlassen könnten

@Agent X

Mal abgesehen von der Tatsache dass es Shareware ist, was gefällt dir nicht an Lock'n'Stop?
Ich benutze zwar keine PFW, ich frage bloß weil ich Lock'n'Stop überhaupt als die gelungenste PFW-Lösung finde.

Gruß
Ajax

#4

Zitat

Zitat

Dieser Bug lässt mich mit anderen Augen auf die alte Kerio blicken... Der "Bericht" behandelt den -unprotokollierten/unkontrollierbaren- Transfer von fragmentierten Paketen (TCP/UDP) durch die Firewall hindurch...

Zwar ist das eine sehr kritische Lücke, zumindest theoretisch denn in der Praxis wurde sie kaum ausgenutzt.
Man könnte sie auch schließen indem man ansprechbare Dienste abschaltet, allerdings bleibt dann die Frage offen:
Wofür brauche ich noch eine Firewall?

Hmm,also, wenn ich mit www.dingens.org alle Dienste abgeschaltet hab, die unnötiger Weise laufen, kann ich davon ausgehen, dass mir der Bug mit den fragmentierten Paketen nix ausmacht. Oder gibt es auch Dienste, die man nicht ausschalten kann, ohne das System zu instabilisieren, die immer noch von den fragmentierten Pakten angesprochen werden können?
Mal abgesehen davon, ob ich nach dem Abschalten aller Dienste noch ne Firewall bräuchte oder nicht!



Cu
Dr. Octagon

#5 Mann kann alle Ports/Dienste schließen ohne das BS dadurch zu destabilisieren.
Das Tool von www.dingens.org habe ich nie getestet, dürfte aber halten was es verspricht.
Zur Zeit als ich meine Ports dicht machte gab es noch keine Tools für sowas. Das war noch echte Handarbeit
Bekannter dagegen ist mir das Tool hier, da ich es schon bei etliche Rechner problemlos eingesetzt habe.
Ein geschlossener Port ist geschlossen, auch für fragmentierte Pakete.
Ob alle deine Ports geschlossen sind siehst Du leicht anhand der Netstat-Eingabe.
TCPView ist auch praktisch, hat eine GUI und zeigt auch die lauschende Prozesse an.

Gruß
Ajax

#6 Kerio 2.1.5 + Harden-It:

Harden-It... sehr schönes Tool, läuft NICHT aktiv im Hintergrund, sondern ändert "nur" Reg-Einträge (TCP/IP Stack wird "abgehärtet") bei der ersten Ausführung. Auf Wunsch kann alles wieder in den Ursprungszustand zurückgestellt werden!

Diese Prog (Freeware) lässt auch die oben angegeben fragmentierten Pakete, wenn diese durch die Kerio 2.1.5 gelangen sollten, im Sande verlaufen.... und vieles mehr.

http://www.sniff-em.com/harden-it.shtml
Hier sieht man die Auswahl für die fragmentierten Pakete:
http://www.wilderssecurity.com/attachment.php?attachmentid=170684&stc=1&d=1133760185



Cu
Dr. Octagon