Wir arbeiten hart an der Sicherheit unserer Produkte. Dazu gehört natürlich auch, dass wir in eigener Sache externe Spezialisten beauftragen unsere Produkte unabhängig und kritisch zu begutachten und unsere Sicherheitsmaßnahmen zu überprüfen.

Dieses Mal haben wir uns an das Electronic Warfare Institute in Canada (EWI) gewandt und beauftragt, basierend auf der Firmware 2.12, ein vollständiges Sicherheitsaudit gem. UL 2900 Standard (US Cybersecurity Standard) durchzuführen. Das Electronic Warfare Institute fokussiert sich neben den UL-Standard 2900-1 zusätzlich darauf ob Malware in den CS141/BACS eingeschleust werden kann. Es wurden über 1 Million Versuche innerhalb von 8 Stunden mit diversen Angriffstools durchgeführt mit dem Ziel, den Webserver bzw. den CS141/BACS abstürzen zu lassen oder das System dazu zu bringen andere Funktionen auszuführen als gewünscht.

Es ist ihnen nicht gelungen! Damit haben wir als eines der wenigen Systeme, die das EWI geprüft hat, keine Sicherheitslücke gefunden die als „High“ klassifiziert werden kann. Geprüft wurden alle Schnittstellen, insbesondere die Betriebsstabilität aller Hardware-Schnittstellen (RS232, RS485) wurde als Robust attestiert und stellen keine Angriffspunkte dar. Der Abschlussbericht ist überraschend positiv für einen solchen Penetrationstest ausgefallen, dennoch wollen wir auch das noch weiter verbessern.

Das Fazit:

Wenn man bei der Einrichtung des CS141/BACS ein Mindestmaß an Sicherungsmaßnahmen aktiviert, dann ist das Gerät auf dem heutigen Stand der Technik als sicher anzusehen!

Der Bericht des EWI im Detail beschreibt einige als „Medium“ und als „Minor“ klassifizierte Schwachstellen – diese wollen wir in der folgenden Analyse bewerten.

Als Kategorie „Medium“ werden Schwachstellen beschrieben die unter bestimmten Bedingungen von nicht vertrauenswürdigen Personen ausgenutzt werden können, wenn die notwendigen Zugangsberechtigungen vorliegen.

Vorweg: Um eine solche Zugangsberechtigung zum CS141/BACS zu erhalten, muss das Administrator-Kennwort bekannt sein. Es sollte daher zu den Mindestmaßnahmen gehören, bei einem neuen Netzwerkgerät ein Passwort zu vergeben, das nicht jedem bekannt ist.

Genau zu dieser Passwortänderung wird bei unserer Firmware 2.12 der Benutzer aufgefordert. Wenn das ignoriert wird, dann kann dies nicht als Sicherheitslücke des CS141/BACS gesehen werden, sondern fällt in die Kategorie „grober Anwenderfehler“. Auch die willkürliche Aktivierung von Netzwerkdiensten, ohne diese zu nutzen oder zu überwachen, gehört zu den grob fahrlässigen Fehlern eines Anwenders und ist sicherlich kein Verschulden des CS141/BACS.

Gut erkennbar: Der CS141 warnt seine Nutzer vor der gravierenden Sicherheitslücke „Default Password in Use“.
Die Warnung weist eindeutig darauf hin, dass derzeitig ein Default-Passwort benutzt wird und geändert werden sollte.

Mit einem Mindestmaß an gesundem Menschenverstand ist jeder CS141/BACS ab der Erstinstallation ein sicheres Gerät - Natürlich könnten wir die Hürden noch höher legen, aber dies würde im Konflikt mit der Tatsache stehen, dass wir als GENEREX zwar der Hersteller sind aber unsere Kunden die nicht der Endanwender selbst, sondern ein B2B – Dienstleister ist, der das Gerät oft im Auftrag des Endanwenders einrichtet. Daher können nicht alle Zugriffsbeschränkungen im Auslieferungszustand aktiviert werden – sonst könnte man den CS141/BACS als Dienstleister gar nicht installieren.

1.Sicherheitslücke klassifiziert als „Medium“:
Der CS141/BACS verwendet einen Standardpasswort für den Erstbenutzer und es gibt keinen Zwang dieses sofort beim ersten Login zu ändern.

Die Frage haben wir uns schon viel früher gestellt aber uns letztendlich dafür entschieden, dass wir beim ersten Start einen Zwang zur Passwortänderung einrichten nur auf expliziten Wunsch unserer OEM-Kunden einführen wollen. Es gibt einige OEM-Kunden die diese Passwortänderung beim ersten Login zwingend verlangen, allerdings muss dann sichergestellt sein, dass dieses Passwort nicht verloren geht. Auch wir als Hersteller können nicht helfen den Zugriff wiederherzustellen ohne dass alle Einstellungen verloren gehen. Unsere Produkte werden ausschließlich über B2B – Partner vertrieben und diese bieten GENEREX-Produkte als Bestandteil anderer Leistungen an, was oft Basiskonfiguration miteinschließt. Wenn nun eine aufwendige Konfiguration „verloren“ geht, weil der Kunde das Passwort vergessen hat, dann ist dies ein Problem für unseren Partner – er kann nicht helfen und der Endkunde könnte die Einrichtungsarbeit neu verlangen – obwohl er selbst für den Schaden verantwortlich ist.

Wir denken, dass in dieser Phase der Erstinstallation und Übergabe an den Endkunden der Verlust eines Passworts kritisch sein könnte, viel kritischer und wahrscheinlicher als ein möglicher Hackerangriff zu diesem Zeitpunkt. Aus diesem Grund „erlauben“ wir uns diese Blöße und liefern weiterhin die meisten Geräte mit einem Standardpasswort aus, fordern allerdings den Benutzer mit einem permanenten Warnhinweis auf, dieses zu ändern.

Wir lassen daher diesen als „Medium“ klassifizierte Sicherheitslücke nicht gelten und verweisen auf unsere Dokumentation inklusive Hardware Hardening Guide, der jeden CS141/BACS zum sichersten Gerät am Markt macht.

2. Sicherheitslücke klassifiziert als „Medium“:
Verwendung einer älteren OpenSSH Version

Dies ist in dem Sinn keine Sicherheitslücke weil dieser Zugang für den Anwender nicht zur Verfügung steht, sondern ausschliesslich für die BACS VIEWER Software zur Verfügung steht.

Warum schalten wir nicht einfach SSH ab, wenn dies als Sicherheitslücke moniert wird?

Der Grund ist, dass SSH ein fester Bestandteil der SFTP-Funktionalität von BACS VIEWER ist, die viele Anwender zum Abholen von Daten aus dem CS141/BACS nutzen wollen. Ohne SSH geht leider auch kein SFTP – daher muss SSH vorhanden sein – auch wenn es keinen Zugriff dafür gibt.

Um dennoch einen Angriff zu verhindern verwenden wir eine speziell angepasste und gehärtete Version von OpenSSH, wodurch die bekannten Lücken gar nicht auf den CS141/BACS anwendbar sind.

Viele Hersteller von Penetrationssoftware betrachten schon ältere Versionsnummern als eindeutigen Anhaltspunkt für potentielle Sicherheitsrisiken, auch wenn diese wie in unserem Fall gar nicht begründet sind. Auch in diesem Fall betrachten wir die Klassifizierung als „Medium“-Sicherheitsrisiko als unbegründet, weil es alleine auf der Erkennung der Versionsnummer der OpenSSH Library basiert.

Um der Penetrationssoftware keine Lücke mehr anzubieten haben wir mit der FW 2.12 den Schalter „BACS VIEWER“ bei der Standardauslieferung auf OFF gestellt. Damit können keine BACS VIEWER-Daten mehr abgeholt werden – und die Penetrationssoftware ist nun „beruhigt“.

BACS VIEWER-Anwender sollten den Schalter auf ON stellen, wenn Sie Daten abholen um danach den Port gerne wieder zu schließen.

3. Sicherheitslücke klassifiziert als Medium:
SNMP Service V2 mit Default Community Strings wird verwendet

Bei Standardauslieferung ist SNMP abgeschaltet, stellt also kein Sicherheitsrisiko dar. Sollte der Anwender SNMP einschalten und sich für SNMP V2 entscheiden, aber kein anderes „Passwort“ als unser Default verwenden, dann ist dies eine bewusste Entscheidung des Anwenders und sollte auch nicht als Sicherheitslücke klassifiziert werden. Natürlich wäre SNMP V3 zu verwenden - der sicherere Weg - aber manche Kunden wollen V2 verwenden, auch wenn sie sich des vollen Risikos bewusst sind. Auch unsere Dokumentation weißt auf dieses Risiko hin. Auch bei SNMP V2 kann man höherer Sicherheit konfigurieren und muss nicht gleich auf SNMP V3 umstellen, manchen Anwendern reicht dies aus.

Wir lassen daher auch diese als „Medium“ klassifizierte Sicherheitslücke nicht gelten und verweisen auf die Möglichkeit hin SNMP V3 zu verwenden.

Das Security Audit des Electronic Warfare Institute bestätigt:

Alle als "Medium" klassifizierte Sicherheitslücken im Bericht sind mit der Konfiguration nahezu vollständig zu entkräften. Sollten Sicherheitslücken in einem Netzwerk entstehen, sind diese dem Umstand der Ersteinrichtung durch Dienstleister - Servicemitarbeiter oder Dienstleister – geschuldet oder aber auf Grund des existierenden Netzwerkdesigns unvermeidbar.

Kunden auf der ganzen Welt vertrauen den Produkten von GENEREX, und mit diesem Security Audit können wir einmal mehr beweisen, dass das Vertrauen berechtigt ist!