安全厂商Sophos公司发布的更新该产品的基于Web的用户界面,以便在其Web网关安全设备用于解决三个严重的安全漏洞的软件。
这些漏洞可能允许攻击者访问含有像明文密码的其他内部网络服务的敏感信息的配置文件,执行命令作为一个高度特权系统用户和对设备的用户发起钓鱼攻击。
[ 更多:安全设备是严重的安全漏洞百出,研究人员说,]
Sophos Web保护设备提供URL过滤、实时Web内容分析和Web访问策略执行。它还可以使用部署在所有端点上的自生成证书颁发机构(CA)证书扫描加密的HTTPS Web通信。
据来自奥地利的安全公司安全研究人员SEC咨询,谁发现了安全漏洞,攻击者可以利用该缺陷的一个窃取存储在设备上的私有CA密钥,并用它来发动人在最中间的流量拦截攻击对内部网络的用户。
美国证券交易委员会咨询的研究人员报告了漏洞,Sophos的2月21日。
“这些问题报告了3.7.8.2版本在2013年3月Sophos的网络设备软件的得到解决,” Sophos称在咨询本周在其网站上公布。“此去给客户的初始组3月18日,一个更大的组3月25日,将提供给所有剩下的客户在4月1日”
产品应该会自动在几天内固定版本已经发布后进行更新。然而,客户也可以启动从配置>系统>更新页面在产品的界面进行手动更新,Sophos称。
美国证券交易委员会咨询研究人员认为,该设备可能有更多的漏洞。“美国证券交易委员会的咨询建议是关掉的产品,直到基于安全源代码审查的综合安全审计已经完成,所有发现的安全缺陷由厂商已经解决了,”他们说在星期三自己的咨询有关的问题。
该消息是经过本·威廉姆斯,在NCC集团渗透测试,警告在上个月安全黑帽欧洲安全会议许多供应商电器包含严重漏洞,其中大部分都位于其基于Web的用户界面。
威廉姆斯分析了不同类型,从一些领先的安全厂商,包括赛门铁克,Sophos的,趋势科技,思科,梭子鱼,迈克菲和Citrix的电器,并表示,其中超过80%包含了某些比较容易发现的严重安全漏洞。
他的一个在黑帽欧洲谈话期间威廉姆斯提出的例子,覆盖更详细白皮书他去年在Sophos电子邮件设备中发现了多个漏洞。
“Sophos的电子邮件设备(v3.7.4.0)有多处漏洞,这组合可以使系统完全破坏,使攻击者在用户界面既管理访问权限,与底层操作系统上的root的shell,”威廉姆斯说在纸张。“命令注入的这些包括各种情况下,与XSS会话劫持,CSRF,会话固定,等。”
Sophos的解决了这些缺陷在2013年1月,与产品自身的安全审查过程中发现的其他问题一起。威廉斯赞扬内置到其家电的自动更新功能,这是他说的是不是在其他厂商的产品规范Sophos的。