Wissen Sie welche Firmware Version auf der Base Unit und den Buttons installiert ist?
Aus aktuellem Anlass möchten wir Sie darauf aufmerksam machen, dass mit der aktuellen Firmware Version 1.9.1.7 einige kritische Sicherheitslücken geschlossen wurden.Was ist genau vorgefallen?
Was ist genau vorgefallen?
Am 16. Dezember 2019 wurde von der Firma F-Secure öffentlich bekannt gegeben, dass in der Firmware der ClickShare Komponenten diverse Sicherheitslücken entdeckt wurden. F-Secure hat Barco am 9. Oktober 2019 bezüglich dieser Schwachstellen kontaktiert. Die Sicherheitsforscher von F-Secure übermittelten dem Hersteller einen Tag später die detaillierten Informationen zu den Sicherheitslücken. Daraufhin wurden durch die beiden Parteien das weitere Vorgehen besprochen und ein Zeitplan für die Mitigation und die Veröffentlichung der Sicherheitslücken erstellt.
Die aktuelle Firmware 1.9.1.7, bei welcher die 5 gravierendsten der insgesamt 14 Sicherheitslücken behoben sind, wurde am 13. Dezember veröffentlicht. Aber ist diese auch wirklich schon installiert?
Die automatische Aktualisierung der Base Unit – falls diese über eine Internet Verbindung verfügt – wird erst 8 Stunden nach der letzten Benützung initialisiert. Dies ist ja meistens über Nacht der Fall und sollte also schon geschehen sein. Ob diese Aktualisierung erfolgreich vorgenommen werden konnte, kann nur überprüft werden, indem die installierte Version auf dem AdminGUI der Base-Unit überprüft wird.
Das Update der ClickShare Button Firmware ist nur sehr eingeschränkt automatisiert möglich. Die ClickShare Buttons verfügen über keine Stromquelle; sie können also nur über das Wi-Fi Netz aktualisiert werden, solange diese an einem Gerät angesteckt sind. Als zusätzliche Bedingung müssen diese für einige Zeit inaktiv sein, damit sie sich automatisiert aktualisieren. Da die meisten Benutzer diese Buttons direkt nach der Benutzung wieder vom Notebook trennen, werden sich diese Buttons potentiell nicht automatisiert aktualisieren und somit ist ein manuelles Update der Button Firmware unumgänglich!
Um die Buttons manuell mit der neuen Firmware auszustatten, müssen diese einzeln am Front USB Anschluss der Base Unit gekoppelt werden. Im Rahmen des Firmwareupdates ist dies zwingend notwendig, da die Version 1.9.1.7 nur Sicherheitslücken des Buttons gefixt hat.
Welche Sicherheitslücken gibt es? Welche wurden geschlossen?
Um den Inhalt dieses Blogbeitrages nicht zu sprengen, werden die Schwachstellen nur grob erklärt, für detaillierte Informationen können Sie uns jederzeit kontaktieren. Das Originaldokument (in Englisch) von F-Secure kann unter folgendem Link gefunden werden.
CVE-2017-7932: System on Chip überprüft Zertifikate ungenügend
Zertifikate werden ungenügend validiert im System on Chip(SoC) welcher im Button und in der Basisstation verbaut ist. Diese Schwachstelle ist bereits seit 2017 bekannt. Lücken bei SoC müssen jedoch direkt im Silizium des Chips geschlossen werden und können nicht mit einem Update gefixt werden.
CVE-2017-7936: SoC ist von bekannten Speicherüberlauf betroffen
Diese Schwachstelle beschreibt einen Speicherüberlauf im SoC welcher in der Basisstation verbaut ist und ebenfalls seit 2017 bekannt ist. Auch hier muss die Lücke im Silizium des Chips geschlossen werden.
CVE-2019-18824: Änderbare Dateisysteminhalte werden nicht validiert
Die Integrität des änderbaren Inhalts in der UBIFS Partition, welche auch den Inhalt des USB Massenspeichers enthält, wird nicht verifiziert. Dadurch können Angreifer den Inhalt des Massenspeichers ändern und Malware einschleusen.
CVE-2019-18825: Fehlerhaftes Verschlüsselungskonzept
Alle Geräte und Modelle der ClickShare Reihe verwenden dieselben Schlüssel zur Verschlüsselung der Dateisysteme der Basisstation. Ein Angreifer muss dementsprechend einmalig einen Schlüssel knacken um auf sämtlichen ClickShare Geräten das entsprechende Dateisystem entschlüsseln zu können.
CVE-2019-18826: Nicht korrekte Validierung der Zertifikatskette
Das im Button eingebettete Programm “dongle_bridge”, welches die Funktionalität des ClickShare-Buttons einem USB-Host zur Verfügung stellt, validiert die gesamte Zertifikatskette nicht korrekt. Dadurch kann ein Angreifer selbstsignierte Zertifikate verwenden, um Zugriff auf anderweitig eingeschränkte Befehle zu erhalten. (In der aktuellen Firmware behoben)
CVE-2019-18827: JTAG Schnittstelle ist nicht permanent deaktiviert
Die JTAG Schnittstelle, welche es Entwicklern ermöglicht Abläufe im Prozessor zu analysieren, ist nicht permanent deaktiviert. Während des Startvorganges des Buttons, kann ein Angreifer die Schwachstelle durch den Zugriff auf die Schnittstelle ausnutzen und somit die Schlüssel der Verschlüsselung abgreifen.
Diese Schwachstelle ist in der aktuellen Firmware behoben.
CVE-2019-18828: Schwaches hartcodiertes Passwort
Das Passwort des Root-Benutzers des ClickShare Buttons ist schwach, einfach zu erraten und hartcodiert abgelegt. Der Hash des Passwortes “letmein” konnte ohne grosse Hindernisse geknackt werden. Dadurch hat ein Angreifer die volle Kontrolle über den Buttons.
Diese Schwachstelle ist in der aktuellen Firmware Version behoben.
CVE-2019-18830: Mehrere OS-Befehlsinjektionen
Durch die Schwachstellen im Programm “dongle_bridge” können Betriebssystembefehle auf dem ClickShare Button ausgeführt werden. Dadurch können Dateien manipuliert werden und die Kommunikation mit dem USB-Host offengelegt werden. Diese Schwachstelle ist in der aktuellen Firmware Version behoben.
CVE-2019-18831: Testzertifikat signiert von der produktiven Zertifizierungsstelle
Auf dem Button wurde ein Testzertifikat inklusive dessen privaten Schlüssel gefunden, welches von der produktiven Zertifizierungsstelle signiert wurde. Dieses Testzertifikat kann somit überall verwendet werden und wird Systemweit als gültiges Zertifikat betrachtet.
CVE-2019-18832: OTP-Schlüssel wird geräteübergreifend verwendet
Der ClickShare Button implementiert eine Verschlüsselung im Ruhezustand, die einen einmalig programmierbaren (OTP) AES-Verschlüsselungsschlüssel verwendet. Dieser Schlüssel wird von allen ClickShare-Buttons des Modells R9861500D01 gemeinsam genutzt. Angreifer können diese Schwachstelle nutzen, um beliebige Software-Images zu fälschen.
CVE-2019-18833: Unzureichender Schutz des Medienstreams
Die ClickShare Software nutzt 2 Kanäle (einen Kontroll- und einen Medien-Kanal) für die Kommunikation mit der Basisstation. Der Medienkanal nutzt Salsa20 als Verschlüsselungsalgorithmus, der Schlüssel dazu wird im TLS verschlüsselten Kontrollkanal übertragen, welcher jedoch durch das signierte Testzertifikat entschlüsselt werden kann. Dadurch kann ein Angreifer den gesamten, übertragenen Bildschirminhalt abgreifen und mitlesen.
Unverschlüsselte Übertragung von Syslog-Daten
Der ClickShare Button übermittelt seine syslog Daten in Klartext an die Basisstation. Ein Angreifer, der in der Lage ist den Datenverkehr abzufangen, kann wertvolle Einblicke in die internen Abläufe des Systems gewinnen, die über andere Kommunikationskanäle, z.B. den Debug-Port, nicht verfügbar sind. Dies ist vor allem bei einer ersten Kompromittierung des Gerätes von Nutzen.
Root Dateisystem ist veränderbar
Das Root Dateisystem, welches sich in einer verschlüsselten ext4 Partition befindet und standardmässig als Read-Only eingehängt ist, kann ausgehängt und im Read-Write Modus wieder eingehängt werden. Dadurch kann das Dateisystem verändert und persistent kompromittiert werden. Die Integrität des Dateisystems ist somit nicht mehr gewährleistet.
Fazit
Die aktuelle Firmware schliesst einige wichtige Lücken um das Barco ClickShare System wieder sicherer zu machen, jedoch sind noch einige Schwachstellen enthalten, welche von Barco sobald als möglich geschlossen werden sollten.
Als Betreiber einer Barco ClickShare Infrastruktur sollten Sie dringend die Firmware auf der Basisstation und vor allem auf den Buttons installieren, damit bei Ihren Meetings die Präsentationen nicht belauscht werden können und Ihre Nutzer sich nicht einem unnötigen Risiko aussetzen. Um das Update zu installieren ist in den allermeisten Fällen ein manueller Eingriff notwendig!
Als Nutzer von Barco ClickShare sollten Sie die automatische Ausführung der ClickShare.exe Datei unterbinden und allgemein mehr Vorsicht im Umgang mit ClickShare walten lassen, besonders bei Partnern oder Kunden.