home *** CD-ROM | disk | FTP | other *** search
/ TAP YIPL / TAP_and_YIPL_Collection_CD.iso / PHREAK / GENERAL / NBASE.TXT < prev    next >
Text File  |  2000-03-12  |  14KB  |  288 lines
  1.  
  2. [ http://www.rootshell.com/ ]
  3.  
  4. Please see the bottom of this advisory for new workaround published by
  5. N-Base.
  6.  
  7. -Rootshell
  8.  
  9. From ttsg@ttsg.com Mon Jul 20 14:33:17 1998
  10. Date: Mon, 20 Jul 1998 17:00:00 -0400 (EDT)
  11. From: TTSG <ttsg@ttsg.com>
  12. To: www-request@rootshell.com
  13. Subject: N-Base Vulnerability Advisory
  14.  
  15.                     The Telecom Security Group
  16.                      http://www.ttsg.com/TTSG/
  17.  
  18.  
  19.         ** TTSG VULNERABILITY ADVISORY **
  20.  
  21.  
  22. Summary:
  23.  
  24. Date:            July 20, 1998
  25. Subject:        N-Base vulnerability
  26. Contact Address:    nbase@ttsg.com
  27. Result:            Comprimise security of switch, or render
  28.                 inoperable
  29. --------------------------------------------------------------------------
  30. Introduction :
  31.  
  32.   I have been trying to get N Base to acknowledge that there's a problem since
  33. April. The original advisory was sent on May 19th, and a followup advisory was
  34. sent on July 4th.  They didn't even bother responding. People should feel
  35. free to contact me for more information or verification.
  36.  
  37.   N Base products are also OEM'd to DEC, Allied Telesyn, Lantronix, Intel,
  38. and Black Box (and presumably others). Some of these companies no longer use
  39. N Base gear, but may have sold products in the past that are affected. The
  40. only way to find out if a given OEM box is really an affected N Base unit is
  41. to try one of the exploits. The <any username>/forgot is probably the best
  42. test.
  43.  
  44.   All I's are the author.
  45. ===========================================================================
  46.   Advisory of May 19th, 1998:
  47.  
  48.   A number of security problems exist in various N Base products. It is quite
  49. likely that these problems are also present in OEM versions of N Base products
  50. sold by others. Because of this, this advisory is CC'd to companies that I be-
  51. live are currently distributing N Base products (or have distributed N Base
  52. products in the past), as well as to various computer security response teams.
  53.  
  54.   I spent a substantial amount of time over the past months trying to get N
  55. Base to resolve these (and other) problems, as I would have preferred to have
  56. fixes available before making these announcements. However, I am told that
  57. N Base has discussed these problems "at the highest levels" and has made a
  58. conscious decision to not correct them. I also stated I would send this notice
  59. on Monday, May 18th, and gave N Base several weeks notice.
  60.  
  61.   Problem 1: 
  62.  
  63.   Many (all?) N Base managed products have "back door" passwords which cannot
  64. be disabled. These apply to both the serial console port and the telnet con-
  65. sole port (if enabled). The username/password combinations are:
  66.  
  67.   Username    Password
  68.   <any>        forgot
  69.   <any>        debug
  70.  
  71.   Both of these combinations grant full access to the switch - in particular,
  72. any of the switch parameters can be changed, including the password. Further,
  73. the "debug" password allows reading of various internal registers. Issuing
  74. some debug commands can cause the switch to lock up, requiring a complete
  75. power cycle to reset. Lastly, with these passwords it is possible to overwrite
  76. the switch operational software, leaving the switch in an unbootable mode. 
  77. Depending on the switch model, a return to the factory may be necessary, though
  78. I have not investigated that.
  79.  
  80.   This problem has been verified on the NH208, NH215, and NH2016 switches and
  81. I believe it is present on all managed N Base switches (though I have only
  82. tested the 3 models listed).
  83.  
  84.   There is no workaround that does not greatly impact functionality. The most
  85. secure workaround is to not define an IP address (disabling IP-based manage-
  86. ment) and to not connect the console serial port. Depending on the environment,
  87. this may not be adequate (for example, a switch located in an insecure area
  88. can still have its console port tampered with). Other workarounds would be to
  89. firewall the network the switch is on to prevent telnet access to the switch.
  90. Of course, this assumes that a security boundary can be established, which is
  91. not always the case.
  92.  
  93.   To disable the IP functionality, use the set-ip command to set the IP address
  94. to a random net 10 address, like this: "set-ip 10.2.3.4" (do not use 2.3.4, 
  95. pick your own random value). Since net 10 is not routed on the Internet and
  96. is unlikely to be routed on your LAN, this should be safe (the default gate-
  97. way will remain as originally configured, so any attacks would have to orig-
  98. inate on an Ethernet segment directly attached to the switch, and picking a
  99. random net 10 address gives a 24-bit "random" value that would need to be
  100. found in order to attack the switch). We set the switch to a net 10 address
  101. as it does not seem possible to delete the IP configuration without complete-
  102. ly initializing the switch configuration and losing all other setup values.
  103. IMPORTANT NOTES: Changing the IP address does not take effect until the switch
  104. is initialized with the "warm-reset" command. I suggest being physically pres-
  105. ent at the switch(es) when you reset them, as 2 of 5 test NH208's hung when I
  106. tried to reset them.
  107.  
  108. Problem 2:
  109.  
  110.   N Base switches that implement a default TFTP server can have the server
  111. operational software or (possibly) parameters overwritten by anyone who knows
  112. the IP address of the switch and has an IP path to the switch.
  113.  
  114.   N Base switches with a default TFTP server have standard filenames for their
  115. operational software and parameters. For example, a NH208 uses a software file
  116. named FLASH08.HEX and a parameter file named PARAM08.PAR. The switch will ac-
  117. cept a TFTP load of any data as long as the file name matches. In the case of
  118. the operating software, the currently running software will be erased, the new
  119. software flashed, and the switch restarted. If the software is not a valid
  120. operating software for the switch, the switch will appear dead, usually with
  121. the FAULT LED illuminated. An unsuspecting user might return the switch to N
  122. Base for repair, but in any event this will cause substantial inconvenience.
  123. The proper operational software can be uploaded to the switch via the serial
  124. port, assuming that the user has the loader utility and switch software (which
  125. may be available from ftp://ftp.nbase.com).
  126.  
  127.   It may be possible to make similar attacks against the parameter file, which
  128. could then be used to compromise VLANs (by removing VLAN partitioning in the
  129. switch) or for denial-of-service attacks (by changing ports to incompatible
  130. operating modes). This has not been verified.
  131.  
  132.   This problem has been verified on the NH208 and NH215 switches. It is not
  133. present on the NH2016 switch unless the switch has been changed to a TFTP
  134. server with the "set-tftp-mode" command. If your switch has the "get-tftp-mode"
  135. command and it reports "Tftp client will be operate on next software download"
  136. then your switch should not be vulnerable to this problem.
  137.  
  138.   Workaround: use the "set-sw-file" and "set-par-file" commands to set the
  139. filenames to strings which cannot be easily guessed. IMPORTANT NOTE: It may
  140. be possible to read the filenames via the switch MIB. If this is the case,
  141. then there is no defense against these attacks other than by disabling IP as
  142. shown in the statement of Problem 1.
  143.  
  144. ===========================================================================
  145. Advisory of July 4th, 1998:
  146.  
  147.   To date, N Base has not made any substantial effort to integrate a fix for
  148. this security hole into the N Base switch product line. Some switch firmware
  149. has been released with a useless "fix", but other switches have not had a
  150. new release, and no discernable effort has been made to inform N Base custom-
  151. ers of this critical security flaw.
  152.  
  153.   The "fix" that N Base has implemented is to simply change the former debug
  154. password of "debug" to the new debug password of "debug0" and the former
  155. lost password recovery password of "forgot" to the new recovery password of
  156. "forgotten".
  157.  
  158.   N Base should retain a security consultant to explain to them that *any*
  159. fixed passwords are an *extremely* bad idea, even if "hidden" or "encrypted"
  160. in the firmware. This has been true for many years, even before the days of
  161. DEC's VMS "FIELD/SERVICE" account. It was true 2 months ago, when 3Com fixed
  162. a similar problem (with a true fix, not just changing the passwords).
  163.  
  164.   It *might* be acceptable for these passwords to only work on the serial
  165. console. It depends on the user and the application, and it's not a decision
  166. I think N Base can make for its customers (at least not without informing
  167. them).
  168.  
  169.   Other products that I am familiar with require either a jumper to be added/
  170. moved/removed inside the product, or require the user to contact the vendor
  171. with the serial number of the unit in question. The manufacturer then uses an
  172. algorithm to compute the maintenance password from the unit serial number.
  173.  
  174.   Personally, I am in favor of the jumper method. However, I understand that
  175. it may not be possible to retrofit existing units. It is possible to develop
  176. a solution that does not involve hardware changes - for example, the debug
  177. and password recovery code could be removed completely from the standard image
  178. and only include in a special debug-and-recover image. As long as customers
  179. are informed that the debug-and-recover image is for these purposes only and
  180. represents a security exposure if not replaced with the standard image once
  181. debugging and/or password recovery is complete. The debug-and-recover image
  182. doesn't need to track other bug fixes, and so could be "frozen". This means
  183. that there is no additional development overhead - just rename the current
  184. images to the debug-and-recover, and omit that capability from future re-
  185. leases. This assumes that the serial upload functionality is present on all
  186. current products, of course.
  187.  
  188.   Lastly, I would add that aside from one contact from N Base saying "I do
  189. not think we have a vulnerability of this nature", I have received *no* com-
  190. munication from N Base regarding my original report.
  191.  
  192.   If I do not hear from N Base via email by July 20th with a plan for success-
  193. fully securing these products and notifying affected customers, I will release
  194. my original advisory and this update to unrestricted security incident report-
  195. ing lists.
  196. ===========================================================================
  197. The Telcom Security Group
  198. PO Box 69
  199. Newburgh, NY 12551
  200. 1.800.596.6882
  201. http://www.ttsg.com/TTSG/
  202. ===========================================================================
  203. Copyright July 1998  The Telcom Security Group
  204.  
  205. The information in this document is provided as a service from The Telecom
  206. Security Group (TTSG).  Neither TTSG, nor any of it's employees, makes
  207. any warranty, express or implied, or assumes any legal liability or
  208. responsibility for the accuracy, completeness, or usefulness of any
  209. information, apparatus, product, or process contained herein, or
  210. represents that its use would not infringe any privately owned rights.
  211. Reference herein to any specific commercial products, process, or
  212. services by trade name, trademark, manufacturer, or otherwise, does not
  213. necessarily constitute or imply its endorsement, recommendation or
  214. favoring by TTSG.  The views and opinions of authors express herein do no 
  215. necessarily state or reflect those of TTSG, and may not be used for 
  216. advertising or product endorsement purposes.
  217.  
  218. The material in this vulnerability advisory may be reproduced and distributed,
  219. without permission, in whole or in part, by other security incident
  220. response teams (both commercial and non-commercial), provided the above
  221. copyright is kept intact and due credit is given to TTSG.
  222.  
  223. This vulnerability advisory may be reproduced and distributed, without
  224. permission, in its entirety only, by any person provided such
  225. reproduction and/or distribution is performed for non-commercial
  226. purposes and with the intent of increasing the awareness of the Internet
  227. community.
  228.  
  229. ===========================================================================
  230.  
  231. Trademarks are property of their respective holders.
  232.  
  233. -----------------------------------------------------------------------------
  234.  
  235. Date:         Mon, 20 Jul 1998 22:48:02 -0700
  236. From:         Geoff Cummins <geoff@NBASE.COM>
  237. Subject:      Re: N-Base Vulnerability Advisory
  238.  
  239. Currently, supported switches with the following ROM updates do have real
  240. fixes for password/tftp problems.
  241.  
  242. For MegaSwitch II:    Model           ROM
  243.                       NH2012          2.54
  244.                       NH2012R         2.54
  245.                       NH2015          2.51
  246.                       NH2048          1.33
  247.  
  248. With these configurations you can do the following to fix these problems.
  249.  
  250. set-full-sec enable  (this disables the backdoor passwords)
  251.  
  252. set-sw-file  XXX     (where XXX is the name you want to call your SNMP
  253.                       software update file)
  254.  
  255. set-par-file XXX     (where XXX is the name you want to call your
  256.                       parameters file)
  257.  
  258. set-passwd <return>  (this will display a prompt to enter a new password)
  259.  
  260. set-comm read XXX    (where XXX is the new read community)
  261.  
  262. set-comm write XXX   (where XXX is the new write community)
  263.  
  264. These steps should secure the mentioned MegaSwitch II configurations.
  265.  
  266. For GigaFrame Switch    NH3012          2.1
  267.  
  268. set-full-sec enabled
  269.  
  270. set-sw-file XXX
  271.  
  272. set-par-file XXX
  273.  
  274. set-comm read XXX
  275.  
  276. set-comm write XXX
  277.  
  278. set-passwd <return>
  279.  
  280. del-user user       (By default there are two users "super", and "user".
  281.                      "super" has supervisor priveldges, "user" is just a
  282.                      default.  To secure the system, you should delete
  283.                      the "user" account.)
  284.  
  285.  
  286. Geoff Cummins
  287. geoff@nbase.com
  288.