Sicherheitsloch in Symantecs Firewall entdeckt

Die belgische Sicherheitsfirma Ubizen hat ein Sicherheitsloch in den Symantec (Börse Frankfurt: SYM) Enterprise-Produkten Raptor Firewall 6.5 und 6.5.3, Enterprise Firewall 6.5.2, V7.0 sowie 7.0, Veloci Raptor Model 500/700/1000/1100/1200/1300 und Gateway Security 5110/5200/5300 entdeckt. Der Bug soll es Hackern ermöglichen, jede Information, die durch die Firewall geht, zu entführen oder zu manipulieren.

Das Problem liege in einem Algorithmus, den die Firewall nutze, um die sogenannten Initial Sequence Numbers (ISN) (Sequenznummern am Beginn von jeder Session) zu generieren. Die ISNs werden als Ausweis zwischen den Clients und Host-PCs in TCP-Sitzungen benötigt. Diese Nummern sollen immer per Zufall generiert werden, um ein mithören, lesen oder verschleppen der Datenpakete zu verhindern. Laut einem veröffentlichten Gutachten der belgischen Sicherheitsfirma ist der verwandte Algorithmus der Raptor-Produkte jedoch nicht zufällig genug und könne leicht erraten werden.

„Die Folgen einer erfolgreichen Attacke sind sehr vielfältig. Sie hängen von der Position des Hackers zwischen den Client- und Host-Rechnern ab“, sagt der Network Security Engineer von Ubizen, Kristof Philipsen. Komme der Angriff von außerhalb des Netzwerks, sei das Schlimmste was der Hacker tun könne, veränderte Daten an den Host zu senden.

Der Angreifer bekäme dann zwar keine Antwort von dem Host-Server, die manipulierten Daten würden jedoch zum Client-PC geschickt. Sollte der Angreifer jedoch an einen Hub im selben Netzwerk angeschlossen sein, könnte er einen „Man-in-the-middle“-Angriff starten. Philipsen nach würde ihm das ermöglichen, nicht nur den gesamten Traffic aller Rechner zu überwachen, sondern willkürlich manipulierte Daten und Dateien unbemerkt im Netz zu versenden.

Symantec hat inzwischen den Fehler in seiner Software behoben und Patches für das Problem zum Download bereit gestellt.

Kontakt: Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)