Cercetător: Aparatele de securitate sunt pline de vulnerabilități grave

Majoritatea e-mailurilor și gateway-urilor web, firewall-uri, servere de acces la distanță, sisteme UTM și alte dispozitive de securitate au avut vulnerabilități serioase, potrivit unui cercetător de securitate care a analizat produsele de la mai mulți furnizori.

Majoritatea dispozitivelor de securitate sunt sisteme de Linux necorespunzătoare, cu aplicații web nesigure, instalate pe ele, potrivit lui Ben Williams, un tester de penetrare la NCC Group. la joi, la conferința de securitate Black Hat Europe 2013 din Amsterdam. Discuția sa a fost intitulată "Exploatarea ironică a produselor de securitate".

Williams a investigat produse de la unii dintre principalii furnizori de securitate, inclusiv Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee și Citrix. Unele au fost analizate ca parte a testelor de penetrare, unele ca parte a evaluărilor produselor pentru clienți și altele în timpul liber.

[Mai multă lectură: Cum să eliminați programele malware de pe PC-ul Windows]

Mai mult de 80% produsele testate au avut vulnerabilitati serioase care au fost relativ usor de gasit, cel putin pentru un cercetator experimentat, a spus Williams. Multe dintre aceste vulnerabilități au fost în interfețele utilizatorilor bazate pe Web ale produselor, a afirmat el.

Interfețele a aproape toate aparatele de securitate testate nu au avut nicio protecție împotriva cracării parolei de forță brute și au avut deficiențe de scripting încrucișate care au permis deturnarea sesiunii. Majoritatea au expus informații despre modelul de produs și versiunea pentru utilizatorii neautorizați, ceea ce ar fi facilitat atacatorilor să descopere aparatele despre care se știe că sunt vulnerabile.

Un alt tip comun de vulnerabilitate găsit în astfel de interfețe a fost intersecția cererea de falsificare. Astfel de defecte permit atacatorilor să acceseze funcțiile de administrare prin înșelăcirea administratorilor autentificați în vizitarea site-urilor rău intenționate. Multe interfețe au avut, de asemenea, vulnerabilități care au permis injectarea comenzilor și escaladarea privilegiilor.

Defectele pe care Williams le-a descoperit mai puțin frecvent au inclus ocolirea directă a autentificării, scripting-ul intersectat în afara benzii, falsificarea cererii la fața locului, negarea serviciului și configurarea greșită a SSH. In timpul prezentarii sale, Williams a prezentat cateva exemple de defecte pe care le-a gasit anul trecut in aparatele Sophos, Symantec si Trend Micro care ar putea fi folosite pentru a obtine controlul complet asupra produselor. O lucrare albă care conținea mai multe detalii despre constatările și recomandările sale pentru vânzători și utilizatori a fost publicată pe site-ul grupului NCC.

Deseori la expoziții, vânzătorii susțin că produsele lor rulează pe Linux "întărit", potrivit lui Williams. "Nu sunt de acord", a spus el.

Majoritatea aparatelor testate erau de fapt sisteme de Linux necorespunzătoare, cu versiuni de kernel învechite, pachete vechi și inutile instalate și alte configurații necorespunzătoare, a spus Williams. Sistemele lor de fișiere nu au fost "întărite", deoarece nu a existat nici o verificare a integrității, nici o caracteristică de securitate SELinux sau AppArmour, și era foarte rar să găsească sisteme de fișiere care nu pot fi scrie sau neexprimate.

O mare problemă este că firmele adesea cred ca pentru ca aceste aparate sunt produse de securitate create de furnizorii de securitate, ele sunt in mod sigur sigure, ceea ce este cu siguranta o greseala, a spus Williams.

De exemplu, un atacator care obtine acces root pe un dispozitiv de securitate e-mail poate face mai mult decat administratorul actual poate, a spus el. Administratorul lucrează prin interfață și poate citi numai e-mailuri marcate ca spam, dar cu o coajă de rădăcină un atacator poate capta tot traficul de e-mail care trece prin aparat, a spus el. Odată compromise, aparatele de securitate pot servi și ca bază pentru scanarea rețelei și atacurile împotriva altor sisteme vulnerabile din rețea.

Modul în care aparatele pot fi atacate depinde de modul în care acestea sunt implementate în interiorul rețelei. În mai mult de 50% dintre produsele testate, interfața Web rulează pe interfața de rețea externă, a spus Williams.

Totuși, chiar dacă interfața nu este direct accesibilă de pe Internet, multe dintre defectele identificate permit atacuri reflective, în cazul în care atacatorul truc administratorul sau un utilizator din rețeaua locală pentru a vizita o pagină rău intenționată sau pentru a da clic pe un link special creat care declanșează un atac împotriva aparatului prin browserul său.

În cazul unor gateway-uri de e-mail, poate să implementeze și să trimită un e-mail cu codul de exploatare pentru o vulnerabilitate de scripting între site-uri în linia de subiect. Dacă e-mailul este blocat ca spam și administratorul îl inspectează în interfața aparatului, codul se va executa automat.

Faptul că astfel de vulnerabilități există în produsele de securitate este ironic, a spus Williams. Cu toate acestea, situația cu produsele non-securitate este, probabil, mai proastă, a spus el.

Este puțin probabil ca astfel de vulnerabilități să fie exploatate în atacuri de masă, dar ar putea fi utilizate în atacuri direcționate împotriva anumitor companii care folosesc produsele vulnerabile de către atacatorii sponsorizați de stat cu scopuri de spionaj industrial, a afirmat cercetătorul.

Au existat unele voci care au spus că Huawei, chinez, a instalat spații ascunse în produsele sale la cererea guvernului chinez, a spus Williams. Cu toate acestea, cu vulnerabilități de genul celor deja existente în majoritatea produselor, un guvern probabil că nici nu ar trebui să mai adauge mai mult, a spus el.

Pentru a se proteja, companiile nu ar trebui să expună interfețele Web sau serviciul SSH produse pe Internet, a spus cercetătorul. Accesul la interfață ar trebui, de asemenea, să se limiteze la rețeaua internă din cauza caracterului reflectorizant al anumitor atacuri.

Administratorii ar trebui să utilizeze un browser pentru navigare generală și altul pentru gestionarea aparatelor prin intermediul interfeței Web. Ar trebui să utilizeze un browser, cum ar fi Firefox, cu extensia de securitate NoScript instalată, a spus el.

Williams a declarat că a raportat vulnerabilitățile pe care le-a descoperit vânzătorilor afectați. Răspunsurile lor au variat, dar, în general, vânzătorii mari au făcut cea mai bună treabă de a gestiona rapoartele, a remedia defectele și a împărtăși informațiile cu clienții, a spus el.