Kwetsbaarheden in Kerio Personal Firewall

Ik kreeg net een mailtje van www.waarschuwingsdienst.nl betreffende de Kerio Firewall, ik geloof dat er hier wel een aantal mensen zijn die Kerio gebruiken en er bij zweren, vandaar deze post


Kerio Personal Firewall

Programma : Kerio Personal Firewall
Versie : Alle versies t/m 2.1.4
Besturingssysteem: Windows 98, Windows Me, Windows NT, Windows 2000,
Windows XP

Samenvatting
Kerio Personal Firewall is een programma dat, mits goed ingesteld,
bescherming biedt tegen een aantal gevaren op het Internet. Een firewall
zal alle netwerkverkeer bekijken, en op basis van vooraf ingestelde
regels bepalen of het verkeer toegestaan is of niet. Er zijn drie
kwetsbaarheden gevonden in Kerio Personal Firewall waarvan twee
kwetsbaarheden van ernstige aard zijn. Deze kwetsbaarheden zijn aangemeld
bij Kerio, maar tot op heden heeft de fabrikant nog niet gereageerd. Het
is dan ook onduidelijk of de kwetsbaarheden zijn opgelost in een nieuwe
versie. Op het moment dat hier meer duidelijkheid over is, zullen wij u op
de hoogte stellen.


Gevolgen
Door middel van de kwetsbaarheden heeft een aanvaller de volgende
mogelijkheden:
a) De Kerio Personal Firewall kan op afstand volledig worden beheerd
b) Er kunnen willekeurige programma's op de firewall worden gestart
c) Er kunnen port scans worden uitgevoerd op de computer die normaal
gesproken door de firewall is beschermd. Een port scan is een manier
om snel een indruk te krijgen welke diensten een computer allemaal
draait. Op basis daarvan kan een aanvaller snel bepalen naar welk soort
kwetsbaarheden hij/zij moet zoeken en welke kwetsbaarheden uitgeprobeerd
kunnen worden.

Oplossingsmogelijkheden
Op dit moment is het onduidelijk of Kerio deze kwetsbaarheden heeft
opgelost in een nieuwe versie.

Als tijdelijke oplossing raden wij u aan om het beheer van de firewall
op afstand onmogelijk te maken. U kunt hiervoor de volgende procedure
gebruiken:
1) Klik met de rechtermuisknop op het blauwe schild in de taakbalk
2) Kies de menuoptie "administration"
3) Klik vervolgens op het "authentication" tabblad
4) Vink aan de optie "authentication is required" en voer een
wachtwoord in
5) Zet de optie "enable remote administration" uit

Om ervoor te zorgen dat een aanvaller geen port scans kan uitvoeren op
een computer die normaal gesproken beschermd wordt door de firewall,
kunt u de volgende procedure uitvoeren:
1) Klik met de rechtermuisknop op het blauwe schild in de taakbalk
2) Kies de menuoptie "administration"
3) Klik vervolgens op het "firewall" tabblad
4) Klik vervolgens op de knop "advanced"
5) Controleer in het tabblad "Filter Rules" of er "rule description"
is opgenomen met de naam "DNS" en
"UDP(Both)" als waarde heeft in de kolom "Protocol". Indien aanwezig,
selecteer deze regel en druk op de knop "Delete".
5) Selecteer vervolgens de eerste regel in het tabblad "Filter Rules"
en druk op de knop "Add"
6) Vul in de volgende velden in het scherm "Filter rule":
Veld "Description: "DNS"
Veld "Protocol": "UDP"
Veld "Direction": "Incoming"
Veld "Port type" bij kader "Remote endpoint": "Single Port"
Veld "Port number" bij kader "Remote endpoint": "53"
Kader "Rule valid": "Always"
Kader "action": "permit"
7) Klik vervolgens op "OK"
8) Klik vervolgens op "OK" in het scherm "Firewall COnfiguration"

Links
http://www.coresecurity.com/common/showdoc.php?idx=314&idxseccion=10
http://www.secunia.com/advisories/8663


Groetjesdes te meer reden om over te stappen naar bv NIS2003 of ZoneAlarmPro

Correctie Waarschuwingsdienst Alert Kerio Personal Firewall

Programma : Kerio Personal Firewall
Versie : Alle versies t/m 2.1.4
Besturingssysteem: Windows 98, Windows Me, Windows NT, Windows 2000,
Windows XP

In de onderstaande alert is een fout gemaakt in de procedure die ervoor
zorgt dat een aanvaller geen port scans kan uitvoeren op een computer
die normaal gesproken beschermd wordt door de firewall. Bij stap 6 van
deze procedure staat dat de waarde "Incoming" in het veld "Direction"
moet worden ingevuld. Echter, deze waarde moet "Outgoing" zijn. Om de
fout te herstellen, moet de huidige ingestelde regel worden verwijderd,
en opnieuw worden aangemaakt. U kunt dat doen door de onderstaande
procedure te uit te voeren:
1) Klik met de rechtermuisknop op het blauwe schild in de taakbalk
2) Kies de menuoptie "administration"
3) Klik vervolgens op het "firewall" tabblad
4) Klik vervolgens op de knop "advanced"
5) Controleer in het tabblad "Filter Rules" of er een "rule description"
is opgenomen met de naam "DNS" en "UDP(Incoming)" als waarde in de
kolom "Protocol". Indien aanwezig, selecteer deze regel en druk op de
knop "Delete"
6) Selecteer vervolgens de eerste regel in het tabblad "Filter Rules"
en druk op de knop "Add"
7) Vul in de volgende velden in het scherm "Filter rule":
Veld "Description: "DNS"
Veld "Protocol": "UDP"
Veld "Direction": "Outgoing"
Veld "Port type" bij kader "Remote endpoint": "Single Port"
Veld "Port number" bij kader "Remote endpoint": "53"
Kader "Rule valid": "Always"
Kader "action": "permit"
8) Klik vervolgens op "OK"
9) Klik vervolgens op "OK" in het scherm "Firewall Configuration"

Bedankt virtually. Goed om te weten.

leuk zo'n waarschuwingsdienst, als ze eerst eens alles goed verifiëren voordat ze een mailing de deur uitdoen, inmiddels het 3de mailtje met weer wat wijzigingen....

hier het bericht

Update Waarschuwingsdienst Alert Kerio Personal Firewall

Programma : Kerio Personal Firewall
Versie : Alle versies t/m 2.1.4
Besturingssysteem: Windows 98, Windows Me, Windows NT, Windows 2000,
Windows XP

Deze email is een update op de eerder verstuurde alert over Kerio
Personal Firewall. De update bevat een toevoeging van een extra
filterregel in de firewall. Deze laat toe dat programma's op uw
computer contact maken met de naamserver (DNS-server) van uw internet
provider. Dit contact met de naamserver stelt uw computer in staat om
bijvoorbeeld webadressen als www.waarschuwingsdienst.nl om te zetten
in IP-adressen. Dit is noodzakelijk om te kunnen surfen.

Indien u onze eerdere instructies al heeft uitgevoerd, dan volstaat
het om alleen de extra filterregel toe te voegen. U kunt dit als volgt
doen:

1) Klik met de rechtermuisknop op het blauwe schild in de taakbalk
2) Kies de menuoptie "administration"
3) Klik vervolgens op het "firewall" tabblad
4) Klik vervolgens op de knop "advanced"
5) Selecteer vervolgens de eerste regel in het tabblad "Filter Rules"
en druk op de knop "Insert"
6) Vul in de volgende velden in het scherm "Filter rule":
Veld "Description: "DNS IN"
Veld "Protocol": "UDP"
Veld "Direction": "Incoming"
In het kader "Local endpoint" hoeft u geen veranderingen aan te brengen.
In het kader "Remote endpoint":
Veld "Address type": "Single address"
Er verschijnt nu een veld genaamd "host address". Hier vult u het IP-adres
in van de naamserver van uw internet provider.
Veld "Port type": "Single port"
Veld "Port number": "53"
Kader "Rule valid": "Always"
Kader "action": "permit"
7) Klik vervolgens op "OK"

U kunt bovenstaande stappen meerdere malen uitvoeren indien uw internet
provider meerdere naamservers heeft.

Kerio, heeft een update beschikbaar gesteld

Kerio Personal Firewall

Programma : Kerio Personal Firewall
Versie : Alle versies t/m 2.1.4
Besturingssysteem: Windows 98, Windows Me, Windows NT, Windows 2000,
Windows XP

Deze email is een update op de eerder verstuurde alert over Kerio
Personal Firewall.

De reden voor deze update is dat de fabrikant, Kerio Technologies Inc.
een nieuwe versie van Kerio Personal Firewall heeft uitgebracht die twee
van de drie eerder gemelde zwakke plekken oplost. U kunt deze versie,
2.1.5, downloaden van de volgende locatie:
http://www.kerio.com/kpf_download.html

Hieronder volgt de volledige nieuwe alert.

#########################################
## Waarschuwingsdienst - ALERT ##
#########################################


Kwetsbaarheid in Kerio Personal Firewall

Programma : Kerio Personal Firewall
Versie : Alle versies t/m 2.1.4
Besturingssysteem: Windows 98, Windows Me, Windows NT, Windows 2000,
Windows XP

Samenvatting
Kerio Personal Firewall is een firewall, een programma dat, mits goed
ingesteld, bescherming biedt tegen een aantal gevaren op het Internet.
Een firewall zal alle netwerkverkeer bekijken, en op basis van vooraf
ingestelde regels bepalen of het verkeer toegestaan is of niet. Er zijn
drie zwakke plekken gevonden in Kerio Personal Firewall waarvan twee
van ernstige aard zijn. Er zijn inmiddels programma's beschikbaar op
het internet, die het misbruiken van de zwakke plekken automatiseren.
Door deze programma's wordt misbruik van de zwakke plekken aanzienlijk
vergemakkelijkt. De risico's op misbruik zijn hierdoor aanmerkelijk
verhoogd.

De fabrikant, Kerio, heeft een update beschikbaar gesteld. De nieuwe
versie 2.1.5 bevat een oplossing voor de twee ernstigste problemen.

Gevolgen
Door middel van de kwetsbaarheden heeft een aanvaller de volgende
mogelijkheden:
a) De Kerio Personal Firewall kan op afstand volledig worden beheerd
b) Er kunnen willekeurige programma's op de firewall worden gestart
c) Er kunnen port scans worden uitgevoerd op de computer die normaal
gesproken door Kerio is beschermd. Een port scan is een manier om snel
een indruk te krijgen welke diensten een computer allemaal draait. Op
basis daarvan kan een aanvaller snel bepalen naar welk soort
kwetsbaarheden hij/zij moet zoeken en welke kwetsbaarheden
uitgeprobeerd kunnen worden.

Oplossingsmogelijkheden
De fabrikant, Kerio Technologies Inc. heeft een nieuwe versie 2.1.5 van
Kerio beschikbaar gesteld op 9 mei 2003. Deze nieuwe versie lost de
drie zwakke plekken op die in het produkt zaten.

U kunt de nieuwe versie van Kerio Personal Firewall downloaden van de
volgende locatie: http://www.kerio.com/kpf_download.html. U hoeft de
vorige versie van Kerio niet te verwijderen voordat u de nieuwe versie
installeert. Na het installeren is een herstart van uw computer wel
vereist.

Als u na het installeren van de nieuwe versie wilt controleren of dit
correct is verlopen doet u dit als volgt:
1) Nadat u uw computer herstart heeft, klikt u met uw rechtermuisknop
op het blauwe schildje van Kerio.
2) Kies voor "about"
3) U ziet nu het informatiescherm van Kerio. Hierin is de informatie
over de firewall engine van belang. Dit moet zijn versie 2.1.5.

Indien u de procedures uit onze voorgaande alert over Kerio heeft
uitgevoerd en regels heeft toegevoegd aan de instellingen van Kerio,
dan hoeft u deze niet te verwijderen. Als u dit nog niet heeft gedaan
dan raden we u aan dit alsnog te doen, om u tegen de derde
kwetsbaarheid, het uitvoeren van port scans, te beschermen. Verder
raden we u aan om de mogelijkheid tot het beheren op afstand van Kerio
Personal Firewall uit te zetten.

De stappen om "beheer op afstand" uit te zetten en u te beschermen
tegen port scans volgen hieronder:

Het uitzetten van beheer op "afstand":
1) Klik met de rechtermuisknop op het blauwe schild in de taakbalk
2) Kies de menuoptie "administration"
3) Klik vervolgens op het "authentication" tabblad
4) Vink aan de optie "authentication is required" en voer een
wachtwoord in
5) Zet de optie "enable remote administration" uit

Het beschermen tegen de derde kwetsbaarheid:
1) Klik met de rechtermuisknop op het blauwe schild in de taakbalk
2) Kies de menuoptie "administration"
3) Klik vervolgens op het "firewall" tabblad
4) Klik vervolgens op de knop "advanced"
5) Controleer in het tabblad "Filter Rules" of er een "rule
description" is opgenomen met de naam "DNS" en "UDP(Both)" als waarde
in de kolom "Protocol". Indien aanwezig, selecteer deze regel en druk
op de knop "Delete".

De filterregel die u nu verwijderd heeft hoort bij de
standaardinstallatie van Kerio Personal Firewall. We zullen deze
filterregel nu vervangen door twee nieuwe regels die stricter zijn.

1) Selecteer vervolgens de eerste regel in het tabblad "Filter Rules"
en druk op de knop "Insert"
2) Vul in de volgende velden in het scherm "Filter rule":
Veld "Description: "DNS"
Veld "Protocol": "UDP"
Veld "Direction": "Outgoing"
In het kader "Local endpoint" brengt u geen veranderingen aan
In het kader "Remote endpoint":
Veld "Port type": "Single Port"
Veld "Port number": "53"
Kader "Rule valid": "Always"
Kader "action": "permit"
3) Klik vervolgens op "OK"

U heeft nu een filterregel aangemaakt die toelaat dat programma's op uw
computer contact maken met naamservers op het Internet. Nu gaat u een
filterregel maken die ervoor zorgt dat de naamserver van uw internet
provider antwoord kan terug kan sturen naar een programma op uw
computer.

1) Selecteer vervolgens de eerste regel in het tabblad "Filter Rules"
en druk op de knop "Insert"
2) Vul in de volgende velden in het scherm "Filter rule":
Veld "Description: "DNS IN"
Veld "Protocol": "UDP"
Veld "Direction": "Incoming"
In het kader "Local endpoint" brengt u geen veranderingen aan
In het kader "Remote endpoint":
Veld "Address type": "Single address"
Er verschijnt nu een veld genaamd "host address". Hier vult u het
IP-adres in van de naamserver van uw internet provider.
Veld "Port type": "Single port"
Veld "Port number": "53"
Kader "Rule valid": "Always"
Kader "action": "permit"
3) Klik vervolgens op "OK". Als uw internet provider meerdere
naamservers heeft kunt u stap 1 tot en met 3 nogmaals uitvoeren
voor de IP-adressen van de andere naamservers.
4) Klik vervolgens op "OK" in het scherm "Firewall Configuration"

Links
Hier kunt u de nieuwste versie en de handleiding van Kerio downloaden:
http://www.kerio.com/kpf_download.html

De oorspronkelijke waarschuwingen:
http://www.coresecurity.com/common/showdoc.php?idx=314&idxseccion=10
http://www.secunia.com/advisories/8663