Tutkija: Turvallisuuslaitteet ovat täynnä vakavia haavoittuvuuksia

Useimmat sähköposti- ja web-yhdyskäytävät, palomuurit, etähallintapalvelimet, UTM (yhdistyneet uhkahallintajärjestelmät) ja muut turvalaitteet on vakava haavoittuvuus tietoturva-tutkijan mukaan, joka analysoi useiden myyjien tuotteita.

Useimmat tietoturvaratkaisut ovat huonosti ylläpidettyjä Linux-järjestelmiä, joihin on asennettu epävarmoja Web-sovelluksia, NCC Groupin penetraatiotestien Ben Williamsin mukaan. tulokset torstaina Amsterdamissa pidetyssä Black Hat Europe 2013 -turvallisuuskonferenssissa. Hänen puheensa oli oikeutettu: "Turvallisuustuotteen heikko hyödyntäminen."

Williams tutki tiettyjen johtavien tietoturvatoimittajien tuotteita, kuten Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee ja Citrix.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Yli 80 prosenttia ohjelmistokehityksestä on suunniteltu, testatuilla tuotteilla oli vakavia haavoittuvuuksia, jotka olivat melko helposti löydettävissä, ainakin kokeneelle tutkijalle, Williams sanoi. Monet näistä haavoittuvuuksista olivat tuotteiden verkkopohjaisissa käyttöliittymissä, hän totesi.

Lähes kaikkien testattujen turvalaitteiden rajapinnoilla ei ollut suojaa törkeästä salasanan halkeilusta ja niillä oli sivustojen väliset komentosarjat, jotka sallivat istunnon kaappaamisen. Useimmat heistä myös paljastavat tuotteen mallista ja versiosta todentamattomille käyttäjille, mikä olisi helpottanut hyökkääjien löytävän laitteita, joiden tiedetään olevan haavoittuvaisia.

Toinen yleinen haavoittuvuus, joka löytyy tällaisista rajapinnoista, pyytää väärentämistä. Tällaiset virheet sallivat hyökkääjät pääsemästä hallintatoimintoihin huijaamalla todennetut ylläpitäjät vieraileviksi haitallisiksi verkkosivustoiksi. Useilla rajapinnoilla oli myös haavoittuvuuksia, jotka sallivat komentojen ruiskutuksen ja etuoikeuden laajentamisen.

Williamsin harvemmin havaitut virheet sisälsivät suoratunnistustekstit, kaistan ulkopuoliset verkkosivustojen komentosarjat, paikan päällä tapahtuvan väärentämisen, palvelunestohyökkäyksen ja SSH: n väärän määrityksen. Hänen esityksensä aikana Williams esitteli useita esimerkkejä virheistä, jotka hän löysi viime vuonna Sophos, Symantec ja Trend Micro laitteista, joita voitiin käyttää täydellisen hallinnan saamiseen tuotteiden yli. Valkoinen kirja, jossa on yksityiskohtaisempi tietoja hänen löytöstään ja suosituksista myyjille ja käyttäjille, julkaistiin NCC Groupin verkkosivuilla.

Usein näyttelyissä myyjät väittävät, että heidän tuotteensa toimivat "kovettuneella" Linuxilla Williamsin mukaan. "Olen eri mieltä", hän sanoi.

Useimmat testatut laitteet olivat todella huonosti ylläpidettyjä Linux-järjestelmiä, joissa vanhentuneet ytimen versiot, vanhoja ja tarpeettomia paketteja asennettuja ja muita huonoja kokoonpanoja, Williams sanoi. Niiden tiedostojärjestelmät eivät olleet "kovettuneet", koska eheyden tarkistamista, SELinux- tai AppArmour-ytimen suojausominaisuuksia ei ollut, ja oli harvinaista löytää ei-kirjoittavia tai ei-suoritettavia tiedostojärjestelmiä.

Suuri ongelma on, että yritykset usein uskovat, että koska nämä laitteet ovat turvallisuuden toimittajien luomia tietoturvatuotteita, ne ovat luonnostaan ​​turvallisia, mikä on varmasti virhe, Williams sanoi.

Esimerkiksi hyökkääjä, joka saa pääkäyttäjän pääsyn sähköpostin suojauslaitteeseen, voi tehdä enemmän kuin varsinainen pääkäyttäjä voi, hän sanoi. Järjestelmänvalvoja toimii käyttöliittymän kautta ja voi lukea vain roskapostina merkittyjä sähköpostiviestejä, mutta juurihakulla hyökkääjä voi kaapata kaiken laitteen kautta kulkevan sähköpostiliikenteen, hän sanoi. Kun turvallisuus on vaarantunut, turvallisuuslaitteet voivat toimia myös pohjana verkkojen tarkistuksille ja hyökkäyksille verkon muita haavoittuvia järjestelmiä vastaan.

Tapa, jolla laitetta voidaan hyökätä, riippuu siitä, miten niitä käytetään verkon sisällä. Yli 50 prosentissa testatuista tuotteista Web-käyttöliittymä suoritti ulkoisen verkkoliittymän, Williams sanoi.

Vaikka käyttöliittymä ei ole suoraan Internetistä saatavissa, monet tunnistetut virheet mahdollistavat heijastavia hyökkäyksiä, jossa hyökkääjä houkuttelee järjestelmänvalvojaan tai paikallisverkossa olevan käyttäjän käymään haitallisella sivulla tai napsauttamalla tietyntyyppistä linkkiä, joka käynnistää hyökkäyksen laitteeseen selaimen kautta.

Jotkin sähköpostiyhteyskäytävät, hyökkääjä pystyy käsittelemään ja lähettämään sähköpostiosoitetta, jolla on hyväksikäyttökoodi aihepiirissä olevien sivustojen komentojen komentojen haavoittuvuudelle. Jos sähköpostiviesti on estetty roskapostina ja järjestelmänvalvoja tarkastaa laitteen käyttöliittymän, koodi suoritetaan automaattisesti.

Turvallisuustuot teissa on tällaisia ​​haavoittuvuuksia ironista, Williams sanoi.

On epätodennäköistä, että tällaisia ​​haavoittuvuuksia käytetään hyväksi joukkohyökkäyksissä, mutta niitä voidaan käyttää kohdennettuihin hyökkäyksiin tietyille yrityksille, jotka käyttävät haavoittuvia tuotteita, esimerkiksi "

On sanottu, että kiinalainen verkko-myyjä Huawei saattaa asentaa piilotettuja tuotteita tuotteisiinsa kiinalaisen hallituksen pyynnöstä, Williams sanoi. Useimmissa tuotteissa jo esiintyvät haavoittuvuudet eivät kuitenkaan edes vaatisi lisää hallintoa, hän sanoi.

Yrityksen ei pitäisi suojata itseään Web-rajapinnoilla tai SSH-palvelulla, joka toimii näissä tuotteita Internetiin, tutkija sanoi. Käyttöliittymän käyttö on rajoitettava myös sisäiseen verkkoon eräiden hyökkäysten heijastavuuden vuoksi.

Järjestelmänvalvojien tulisi käyttää yhtä selainta yleiseen selaamiseen ja toisen laitteiden hallintaan Web-käyttöliittymän kautta, hän sanoi. Heidän pitäisi käyttää selaimen, kuten Firefoxin, asennettuna NoScript-tietoturvapäätyyn.

Williams ilmoitti ilmoittaneensa haavoittuvuudet, jotka hän havaitsi asianomaisille toimittajille. Heidän vastauksensa vaihtelivat, mutta yleensä suuret myyjät tekivät parhaan tehtävän raporttien käsittelystä, puutteiden korjaamisesta ja tietojen jakamisesta asiakkaidensa kanssa.