Kutató: A biztonsági eszközöket komoly sérülékenységekkel ölelik fel

Az e-mail és web-átjárók, tűzfalak, távoli hozzáférési szerverek, UTM (egyesített fenyegetéskezelő) rendszerek és egyéb biztonsági berendezések A legtöbb biztonsági eszköz rosszul karbantartja a Linux rendszereket, amelyekben nem biztonságos webalkalmazások vannak telepítve, állítja Ben Williams, az NCC Group penetrációs tesztelője. találatokat csütörtökön a Black Hat Europe 2013 biztonsági konferencián Amszterdamban. Az ő beszéde a következő volt: "A biztonsági termékek akut kizsákmányolása".

Williams a vezető biztonsági gyártóktól származó termékeket vizsgálta, köztük a Symantec, a Sophos, a Trend Micro, a Cisco, a Barracuda, a McAfee és a Citrix. Néhány elemzést a penetrációs tesztek részeként elemeztünk, néhányat a termékértékelések részeként az ügyfelek és mások szabadidejében.

[További olvasnivalók: Hogyan távolítsunk el kártékony programokat Windows számítógépéről]

Több mint 80 százalék a tesztelt termékeknek komoly sebezhetősége volt, amely viszonylag könnyű volt megtalálni, legalábbis egy tapasztalt kutató számára. A biztonsági rések nagy része a termékek web alapú felhasználói felületén volt, azt mondta.

A szinte minden tesztelt biztonsági eszköz interfészének nem volt védelme a hatalmas jelszavas repedés ellen, és olyan webhelyeken keresztüli szkripthiba volt, amely lehetővé tette a munkamenetek eltérítését. Ezek többsége a termékmodellre és a verzióra vonatkozó információkat is hitelesítette a hitelesített felhasználók számára, ami megkönnyítette volna a támadók számára, hogy felfedezzék a sebezhető eszközöket.

Az ilyen interfészeken talált másik gyakori típusú sebezhetőség a cross-site kérjen hamisítást. Az ilyen hibák lehetővé teszik a támadók számára, hogy hozzáférjenek az adminisztrációs funkciókhoz a hitelesített rendszergazdáknak a rosszindulatú weboldalak meglátogatásával történő meghiúsításával Számos interfész olyan sebezhetőséggel is rendelkezett, amelyek lehetővé tették a parancs befecskendezését és a kiváltság kiváltását.

A Williams által kevésbé talált hibák közé tartoztak a közvetlen hitelesítés bypassok, a sávon kívüli helyszíni szkriptek, a helyszínen történő kéréshamisítás, a szolgáltatás megtagadása és az SSH helytelen beállítása. Számos egyéb, még homályosabb kérdés is volt, azt mondta:

A prezentáció során Williams több példát mutatott be a Sophos, a Symantec és a Trend Micro készülékek tavaly megtalált hibáiról, amelyek teljes körű ellenőrzésre használhatók a termékek felett. Az NCC Group weboldalán közzétették az ő megállapításairól és ajánlásairól szóló részletesebb fehér könyvet.

Gyakran kereskedelmi kiállításokon a gyártók azt állítják, hogy termékeik "keményített" Linuxon futnak, Williams szerint. "Nem értek egyet", mondta.

A legtöbb tesztelt készülék valójában rosszul karbantartott Linux rendszerek, amelyek elavult rendszermagverziókkal, régi és felesleges telepített csomagokkal és egyéb gyenge konfigurációval rendelkeznek. A fájlrendszereik nem "keményítettek", mivel nem volt integritás-ellenőrzés, SELinux vagy AppArmour kernel biztonsági funkciók, ritkán nem írható vagy nem végrehajtható fájlrendszerek találhatók.

Nagy probléma az, hogy a vállalatok gyakran úgy vélik, hogy mivel ezek a készülékek a biztonsági szolgáltatók által létrehozott biztonsági termékek, természetüknél fogva biztonságosak, ami egyértelműen hiba. "

Például egy támadó, aki gyökér hozzáférést kap egy e-mail biztonsági eszközön, többet tehet a tényleges adminisztrátor - mondta. A rendszergazda az interfészen keresztül működik, és csak az e-maileket olvashatja el spamként, de egy gyökérhéj segítségével a támadó képes megragadni a készüléken áthaladó e-maileket. Miután veszélyezteti, a biztonsági berendezések alapul szolgálhatnak a hálózati beolvasások és a hálózati sebezhető rendszerek elleni támadásoknak is.

A készülékek megtámadásának módja attól függ, hogyan telepítik őket a hálózaton belül. A tesztelt termékek több mint 50 százalékában a webes felület a külső hálózati interfészen futott, a Williams azt mondta:

Még akkor is, ha a felület nem érhető el közvetlenül az internetről, számos azonosított hiba lehetővé teszi a fényvisszaverő támadásokat, ahol a támadó trükkös a rendszergazda vagy egy felhasználó a helyi hálózaton, hogy látogasson el egy rosszindulatú oldalra, vagy kattintson egy speciálisan létrehozott linkre, amely a böngészőn keresztül támadást indít a készülékkel szemben.

Egyes e-mail átjárók esetén a támadó képes kézbesíteni és küldeni egy e-mailt a kizsákmányolási kóddal a webhelyen található szkriptterminálok sebezhetőségéhez a tárgysorban. Ha az e-mailt levélszemétként blokkolja, és a rendszergazda megvizsgálja a készülék felületén, a kód automatikusan végrehajtódik.

Az a tény, hogy a biztonsági termékekben ilyen biztonsági rések léteznek, ironikus. Azonban a nem biztonsági termékekkel kapcsolatos helyzet valószínűleg rosszabb, mondja.

Nem valószínű, hogy ilyen sebezhetőségeket tömeges támadásokban kihasználnak, de célzatos támadásokként használhatók fel a kiszolgáltatott termékeket használó egyes vállalatokkal szemben, például a kínai kutató azt mondta:

Vannak olyan hangok, amelyek szerint a kínai hálózatépítő gyártó a Huawei a kínai kormány kérésére rejtett háttértárat telepít a termékeiben, mondta Williams. Azonban a legtöbb termékben már meglévő sebezhetőségeket illetően a kormány valószínűleg nem is kellene többet felvennie. "

A vállalatok védelme érdekében a vállalatoknak nem szabad kiaknázniuk a webes felületeket vagy az ezeken futó SSH szolgáltatást a termékek az internetre, mondta a kutató. Az interfésznek a belső hálózatra is korlátozódnia kell, mivel egyes támadások fényvisszaverő jellegűek.

A rendszergazdáknak egy böngészőt kell használnia az általános böngészéshez és egy másik eszközt a webes felületen keresztül történő kezeléshez. Őknek olyan böngészőt kell használnia, mint például a Firefox, a NoScript biztonsági bővítményt telepítve, azt mondta.

Williams azt mondta, hogy beszámolt az általa felfedezett sebezhetőségekről az érintett gyártóknak. Válaszuk változatos volt, de általában a nagy gyártók tették a legjobb feladatot a jelentések kezelésére, a hibák kijavítására és az ügyfelekkel való információ megosztására. "