Barracuda Networks周一发布了一项新的更新,以进一步缓解一个安全问题,该安全问题可能允许攻击者通过原本用于远程支持的后门账户获得未经授权的访问其一些网络安全设备的权限。该公司为导致这一情况的设计决定向客户道歉,并承诺寻找其他方法来加强远程支持功能。
(背景:在梭鱼网络的电器里发现了后门账户]
两周前,来自奥地利安全公司SEC Consult的安全研究人员透露了Barracuda Networks的设备包含多个非法——后门——账户。此外,这些设备的默认防火墙配置使攻击者有可能从一组预定义的公共IP(互联网协议)地址访问未登记的帐户,其中一些不属于Barracuda网络。
该公司当时做出回应,发布了“安全定义”更新,称通过禁止对非必要账户的远程访问,“极大地减少了攻击载体”。然而,在周一,该公司发布了一个新的更新——安全定义2.0.7——通过从默认防火墙规则中删除未经授权的IP地址范围来进一步缓解这个问题。
Barracuda网络公司的联合创始人兼首席技术官Zach Levow周一在一份博客.
Levow说:“多年来,我们一直把支持作为我们的主要关注点,尽可能为我们的客户提供最好的支持。”“然而,我意识到这样做,我们错过了当今安全和网络环境所需的平衡。我们忽略了不把支持控制放在用户界面的前端和中心位置的重要性,以及如果某些设备不在防火墙后,让支持访问选择退出而不是选择加入的相关问题。我现在对我们做出的一些选择感到遗憾,并向我们的客户和合作伙伴道歉,他们认为这种做法是误导或欺骗。我向你们保证,我们正在夜以继日地工作,整合你们与我们分享的反馈和期望,做出进一步的改变。”
Levow在博文中指出,Barracuda Backup, Barracuda NG Firewall, Barracuda Firewall, Barracuda Load Balancer, Barracuda Link Balancer和Barracuda Web Application Firewall(版本7.7及以后)都没有受到这个问题的影响,尽管最初有报告。
他说,受影响的设备包括Barracuda垃圾邮件和病毒防火墙、Barracuda Web过滤器、Barracuda消息归档器、Barracuda SSL VPN、Barracuda Web应用防火墙7.6.4版本及更早版本,以及CudaTel。
虽然新的安全更新大大限制了攻击者通过远程支持功能获得未经授权访问Barracuda设备的能力,但他们并没有完全删除该功能。Barracuda的技术支持人员仍然可以远程访问直接连接到互联网的设备,这一功能可能会让一些客户感到不适。
Levow说:“虽然我们公开表示我们有能力远程支持客户盒,但这种部署类型的含义并没有明确的文件记录。”“我们鼓励客户将设备部署在防火墙后,防火墙被配置为仅通过设备的流量。”
Levow说,Barracuda目前正在分析改变这一功能的方法,这样即使设备直接连接到互联网,建立远程支持通道也需要客户的交互。