大部分的电子邮件和网络网关、防火墙、远程访问服务器,UTM(统一威胁管理)系统和其他安全设备有严重的漏洞,根据安全研究人员分析了来自多个供应商的产品。
最安全设备安装了不安全的Web应用程序的维护不善的Linux系统,根据本·威廉姆斯,NCC集团渗透试验器,介绍了他的研究结果周四在阿姆斯特丹的黑帽欧洲2013安全会议。演讲题目,“讽刺开采安全的产品。”
威廉姆斯从一些领先的安全调查产品供应商,包括赛门铁克,Sophos,趋势科技,思科,梭鱼,McAfee和Citrix。一些分析作为渗透测试的一部分,作为产品为客户评估的一部分,和其他人在业余时间。
超过80%的测试产品有严重的漏洞,相对容易找,至少对于一个经验丰富的研究员,Williams说。这些缺陷在产品的基于web的用户界面,他说。
几乎所有的接口测试安全电器没有防止强力密码破解和跨站点脚本漏洞,允许会话劫持。他们中的大多数也暴露出产品模型和版本未经身份验证的用户的信息,这将使攻击者更容易发现已知的电器是脆弱的。
另一个常见的漏洞中发现这种接口是跨站点请求伪造。上述缺陷允许攻击者访问管理功能,诱使验证管理员访问恶意网站。许多接口也有漏洞,允许命令注入和特权升级。
威廉姆斯发现缺陷较少包括direct-authentication绕过,带外跨站点脚本编制,现场请求伪造、拒绝服务和SSH错误配置。有很多其他更模糊的问题,他说。
在演讲中,威廉姆斯提出了几个他发现缺陷的例子从Sophos去年在电器,赛门铁克和趋势科技,可以用来获得完全控制产品。白皮书更多细节关于他的发现和对供应商和用户的建议发表NCC集团网站上。
经常在贸易展览,卖家声称他们的产品“硬化”上运行Linux,据威廉姆斯。“我不同意,”他说。
大多数测试设备是过时的内核版本Linux系统管理不善,旧的和不必要的安装包,和其他可怜的配置,Williams说。他们的文件系统并不是“硬”,因为没有完整性检查,没有SELinux或AppArmour内核安全特性,难得找到non-writeable不可执行的文件系统。
一个大问题是,公司通常认为,因为这些设备是安全产品由安全厂商,他们本质上是安全的,这绝对是一个错误,Williams说。
例如,攻击者获得root访问电子邮件安全设备可以比实际的管理员可以做得更多,他说。管理员通过接口工作,只能读邮件标记为垃圾邮件,但根壳攻击者可以捕获所有电子邮件交通设备,他说。一旦泄露,安全设备也能作为一个基础网络扫描和攻击其他脆弱的系统网络。
电器可以攻击的方式取决于他们如何部署在网络。在超过50%的测试产品,Web界面运行在外部网络接口,Williams说。
然而,即使的接口是不能直接访问互联网,许多识别缺陷允许反射攻击,攻击者技巧管理员或者用户在本地网络上访问恶意网页或点击一个专门制作的链接,启动了一个攻击设备通过他们的浏览器。
对于一些电子邮件网关,攻击者可以工艺和发送电子邮件和跨站点脚本漏洞利用代码的主题。如果邮件被垃圾邮件和管理员检查的设备接口,代码将自动执行。
事实上,这样的漏洞存在于安全产品是讽刺,Williams说。然而,情况与非安全性产品可能是更糟糕的是,他说。
不可能,这样的漏洞会利用大规模攻击,但他们可以用于有针对性的攻击特定使用脆弱的公司产品,例如国家资助的攻击者与工业间谍活动目标,研究者说。
有一些声音说中国网络供应商华为可能安装后门隐藏在其产品在中国政府的要求下,Williams说。然而,这样的漏洞已经存在在大多数产品,政府可能不会甚至需要添加更多的,他说。
为了保护自己,企业不应该暴露Web接口或SSH服务运行在这些产品上互联网,研究者说。访问接口也应该局限于内部网络的反射性质的一些攻击。
管理员应该使用一个浏览器一般浏览和另一个用于管理设备通过网络接口,他说。他们应该使用NoScript安全浏览器,如Firefox扩展安装,他说。
威廉姆斯说他报道了漏洞发现受影响的供应商。他们的反应各不相同,但总的来说大厂商做了最好的工作的处理报告,修复缺陷和共享信息与他们的客户,他说。