安全供应商Sophos发布了一款用于其Web网关安全设备的软件更新,以解决该产品基于Web的用户界面上的三个严重漏洞。
这些漏洞可能允许攻击者访问包含敏感信息(如其他内部网络服务的明文密码)的配置文件,以高度特权系统用户身份执行命令,并对设备用户发起钓鱼攻击。
[更多:研究人员称,安全设备漏洞百出]
Sophos Web保护设备提供URL过滤、实时Web内容分析和Web访问策略执行。它还可以使用部署在所有端点上的自生成证书颁发机构(CA)证书扫描加密的HTTPS Web通信。
根据奥地利的安全公司证券交易委员会的安全研究人员查阅、发现漏洞,攻击者可以利用的缺陷之一窃取私人CA密钥存储在设备上,用它来启动中间人交通拦截攻击内部网络上的用户。
SEC咨询研究人员在2月21日报告了Sophos的漏洞。
“报告的问题在2013年3月Sophos网络设备软件3.7.8.2发布后得到了解决,”Sophos说一个顾问本周公布在其网站上。“3月18日,首批客户获得了优惠,3月25日,更多客户获得了优惠,所有剩余客户将在4月1日获得优惠。”
设备应该在固定版本发布后的几天内自动更新。不过,Sophos表示,客户也可以从产品界面的配置>系统>更新页面发起手动更新。
美国证券交易委员会咨询研究人员认为,该设备可能有更多的漏洞。“SEC顾问的建议是,在基于安全源代码审查的全面安全审计完成、所有被识别的安全缺陷都被供应商解决之前,关掉该产品,”他们在周三表示自己的咨询有关的问题。
在此之前,NCC集团的渗透测试员Ben Williams在上个月的黑帽欧洲安全会议上警告说,安全问题许多供应商提供的设备都存在严重的漏洞,其中大多数都位于基于web的用户界面中。
Williams分析了来自一些主要安全供应商的不同类型的设备,包括赛门铁克、Sophos、趋势科技、思科、Barracuda、McAfee和Citrix,他说,其中超过80%的设备存在严重的安全漏洞,这些漏洞相对容易发现。
其中一个例子是Williams在黑帽欧洲演讲中提出的,在a白皮书他去年在Sophos电子邮件设备中发现了多个漏洞。
“Sophos电子邮件设备(v3.7.4.0)有多个漏洞,这些漏洞结合在一起可以让系统完全受到破坏,给攻击者提供对UI的管理访问权限,以及底层操作系统上的根shell,”Williams在文章中说。“这些包括命令注入、带有会话劫持的XSS、CSRF、会话固定等等的各种实例。”
Sophos在2013年1月解决了这些漏洞,同时也解决了在对该产品进行安全审查时发现的其他问题。Williams称赞了Sophos内置的自动更新功能,他说这在其他厂商的产品中并不常见。