大多数电子邮件和Web网关,防火墙,远程访问服务器,UTM(统一威胁管理)系统和其他安全设备有严重的漏洞,按照谁分析来自多个供应商的产品安全研究员。
大多数安全器具维修不善与安装在他们不安全的Web应用程序的Linux系统,根据本·威廉姆斯,在NCC集团渗透测试,谁在阿姆斯特丹的黑帽欧洲2013安全会议上介绍了他的研究结果周四。他的演讲题目是:“安全产品的开发讽刺。”
威廉姆斯调查产品从一些领先的安全厂商,包括赛门铁克,Sophos的,趋势科技,思科,梭子鱼,迈克菲和Citrix的。一些分析作为渗透测试的一部分,有的在工作之余产品评估客户,和其他人的一部分。
威廉姆斯说,超过80%的被测试产品存在严重的漏洞,而且相对容易发现,至少对有经验的研究人员来说是这样。他说,这些漏洞中有很多存在于产品基于web的用户界面上。
几乎所有经过测试的安全设备的接口都没有针对蛮力密码破解的保护,并且存在跨站点脚本缺陷,从而允许会话劫持。它们中的大多数还将产品模型和版本的信息暴露给未经身份验证的用户,这将使攻击者更容易发现已知易受攻击的设备。
在这些接口中发现的另一种常见的漏洞类型是跨站点请求伪造。这些漏洞允许攻击者通过诱骗经过身份验证的管理员访问恶意网站来访问管理功能。许多接口还存在允许命令注入和特权升级的漏洞。
Williams发现的不太常见的缺陷包括直接认证旁路、带外跨站点脚本、现场请求伪造、拒绝服务和SSH错误配置。他说,还有很多其他更模糊的问题。
在他的演讲中,Williams列举了几个他去年在Sophos、赛门铁克(Symantec)和趋势科技(Trend Micro)的设备中发现的缺陷的例子,这些缺陷可以用来获得对产品的完全控制权。一份白皮书,详细介绍了他的发现以及对供应商和用户的建议发表在NCC集团的网站。
通常在展销会上,厂商宣称自己的产品上“强硬” Linux上运行,根据威廉姆斯。“我不同意,”他说。
大多数测试设备实际上疏于维护过时的内核版本,安装旧的和不必要的包装,以及其他贫困配置Linux系统,威廉姆斯说。他们的文件系统不“强硬”要么,因为没有完整性检查,没有SELinux的或AppArmour内核安全特性,这是难得找到不可写的或不可执行的文件系统。
一个大问题是,企业往往认为,因为这些设备是由安全厂商创建的安全产品,他们固有的安全性,这绝对是一个错误,威廉姆斯说。
举例来说,谁上的电子邮件安全设备获得root访问权限的攻击者可以做的比实际的管理员,他说。管理员工作通过该接口,只能读取电子邮件标记为垃圾邮件,但有一个root shell,攻击者可以捕获所有通过设备上的电子邮件流量,他说。一旦受到损害,安全设备也可以作为网络扫描和对网络上的其他系统漏洞攻击的基地。
设备被攻击的方式取决于它们在网络内的部署方式。Williams说,在超过50%的测试产品中,网络界面运行在外部网络界面上。
然而,即使接口不是从Internet直接访问,许多确定的缺陷允许反射攻击,在攻击者诱骗管理员或本地网络上的用户访问恶意网页或单击特制链接即通过推出自己的浏览器对设备的攻击。
在某些电子邮件网关的情况下,攻击者可以在主题行编写并发送带有跨站点脚本漏洞利用代码的电子邮件。如果电子邮件被拦截为垃圾邮件,管理员在设备接口中检查它,代码将自动执行。
Williams说,具有讽刺意味的是,安全产品中存在这样的漏洞。然而,非安全产品的情况可能更糟,他说。
这名研究人员说,此类漏洞不太可能在大规模攻击中被利用,但它们可能被用于针对使用易受攻击产品的特定公司的有针对性的攻击,比如有国家资助的、以工业间谍为目的的攻击者。
威廉姆斯说,有一些声音说,中国网络供应商华为可能应中国政府的要求,在其产品中安装了隐藏的后门。不过,他说,由于大多数产品都存在类似的漏洞,政府可能根本不需要再增加漏洞。
为了保护自己,公司不应该暴露在Web界面或于这些产品的互联网运行SSH服务,研究人员说。访问接口也应仅限于内部网络,因为一些攻击的反射特性。
他说,管理员应该使用一个浏览器进行一般浏览,使用另一个浏览器通过网络界面管理设备。他说,他们应该使用安装了NoScript安全扩展的Firefox等浏览器。
威廉姆斯说,他向受影响的供应商报告了他发现的漏洞。他说,他们的反应各不相同,但总的来说,大供应商在处理报告、修复缺陷和与客户分享信息方面做得最好。