Badacz: urządzenia zabezpieczające mają poważne luki w zabezpieczeniach

Większość urządzeń zabezpieczających to słabo utrzymywane systemy Linux z niezabezpieczonymi aplikacjami internetowymi zainstalowanymi na nich, według Ben Williamsa, testera penetracji w NCC Group, który przedstawił wyniki czwartku na konferencji bezpieczeństwa Black Hat Europe 2013 w Amsterdamie. Jego rozmowa zatytułowana była "Ironic Exploitation of Security Products".

Williams badał produkty niektórych wiodących dostawców rozwiązań bezpieczeństwa, w tym Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee i Citrix. Niektóre z nich zostały przeanalizowane w ramach testów penetracyjnych, niektóre w ramach ocen produktów dla klientów i innych w wolnym czasie.

Więcej niż 80 procent testowane produkty miały poważne słabe punkty, które były względnie łatwe do znalezienia, przynajmniej dla doświadczonego badacza, powiedział Williams. Wiele z tych luk dotyczyło interfejsów użytkownika opartych na sieci Web, powiedział.

Interfejsy prawie wszystkich testowanych urządzeń bezpieczeństwa nie były chronione przed brutalnym łamaniem haseł i zawierały błędy cross-site scripting, które pozwalały na porwanie sesji.. Większość z nich ujawniła również informacje o modelu i wersji produktu nieuwierzytelnionym użytkownikom, co ułatwiłoby osobom atakującym odkrycie urządzeń, które są znane jako podatne na ataki.

Innym powszechnym rodzajem luki występującej w takich interfejsach była interakcja między lokacjami zażądać fałszerstwa. Takie luki umożliwiają intruzom dostęp do funkcji administracyjnych poprzez nakłanianie uwierzytelnionych administratorów do odwiedzania złośliwych stron internetowych. Wiele interfejsów miało również luki, które pozwalały na zwiększanie liczby poleceń i uprawnień.

Luki, które Williams znajdował rzadziej, obejmowały omijanie bezpośrednich uwierzytelnień, out-of-band cross-site scripting, fałszowanie żądań na miejscu, odmowę usługi i błędną konfigurację SSH. Miał też wiele innych, bardziej niejasnych zagadnień, powiedział.

Podczas swojej prezentacji Williams przedstawił kilka przykładów wad, które znalazł w zeszłym roku w urządzeniach Sophos, Symantec i Trend Micro, które można wykorzystać do uzyskania pełnej kontroli nad produktami. Biała księga zawierająca więcej szczegółów na temat swoich ustaleń i zaleceń dla sprzedawców i użytkowników została opublikowana na stronie internetowej NCC Group.

Często na targach sprzedawcy twierdzą, że ich produkty działają na "zahartowanym" systemie Linux, jak twierdzi Williams. "Nie zgadzam się", powiedział.

Większość przetestowanych urządzeń to właściwie słabo utrzymywane systemy Linux z przestarzałymi wersjami jądra, stare i niepotrzebne pakiety zainstalowane i inne złe konfiguracje, powiedział Williams. Ich systemy plików również nie były "zahartowane", ponieważ nie było sprawdzania integralności, funkcji zabezpieczeń jądra SELinux ani AppArmour, a rzadko zdarzało się znaleźć niepisywalne lub niewykonywalne systemy plików.

Dużym problemem jest to, że firmy często wierzą, że ponieważ te urządzenia są produktami bezpieczeństwa stworzonymi przez sprzedawców zabezpieczeń, są z natury bezpieczne, co jest zdecydowanie błędem, powiedział Williams.

Na przykład osoba atakująca, która uzyskuje dostęp root na urządzeniu zabezpieczającym pocztę elektroniczną, może zrobić więcej niż rzeczywisty administrator może, powiedział. Administrator pracuje poprzez interfejs i może czytać tylko e-maile oznaczone jako spam, ale w powłoce głównej atakujący może przechwytywać cały ruch poczty elektronicznej przechodzącej przez urządzenie, powiedział. Po zaatakowaniu urządzenia bezpieczeństwa mogą również służyć jako baza do skanowania sieciowego i ataków na inne wrażliwe systemy w sieci.

Sposób, w jaki urządzenia mogą być atakowane, zależy od sposobu ich wdrożenia w sieci. W ponad 50 procentach testowanych produktów interfejs sieci Web działał na zewnętrznym interfejsie sieciowym, powiedział Williams.

Jednak nawet jeśli interfejs nie jest bezpośrednio dostępny z Internetu, wiele z zidentyfikowanych błędów pozwala na ataki refleksyjne, gdy osoba atakująca wyszukuje administratora lub użytkownika w sieci lokalnej w celu odwiedzenia złośliwej strony lub kliknięcia specjalnie spreparowanego linku, który uruchamia atak na urządzenie za pośrednictwem przeglądarki.

W przypadku niektórych bramek e-mail atakujący umie tworzyć i wysyłać wiadomości e-mail z kodem exploit dla luki cross-site scripting w temacie. Jeśli wiadomość e-mail zostanie zablokowana jako spam, a administrator sprawdzi ją w interfejsie urządzenia, kod zostanie wykonany automatycznie.

Fakt, że luki w zabezpieczeniach występują w produktach zabezpieczających jest ironiczny, powiedział Williams. Jednak sytuacja związana z produktami niezwiązanymi z bezpieczeństwem jest prawdopodobnie gorsza, powiedział.

Jest mało prawdopodobne, że takie luki zostaną wykorzystane w masowych atakach, ale mogą być użyte w ukierunkowanych atakach na konkretne firmy, które używają wrażliwych produktów, na przykład przez sponsorowanych przez państwo napastników o celach szpiegowskich w przemyśle, powiedział naukowiec.

Pojawiły się głosy, że chiński dostawca sieci Huawei może instalować ukryte backdoory w swoich produktach na prośbę chińskiego rządu, powiedział Williams. Jednak z powodu luk w zabezpieczeniach, które już istnieją w większości produktów, rząd prawdopodobnie nie musiałby dodawać więcej, powiedział.

Aby się chronić, firmy nie powinny udostępniać interfejsów sieci Web ani usługi SSH działającej na tych urządzeniach. produkty do Internetu, powiedział badacz. Dostęp do interfejsu powinien być również ograniczony do sieci wewnętrznej ze względu na refleksyjny charakter niektórych ataków.

Administratorzy powinni korzystać z jednej przeglądarki do ogólnego przeglądania i innej do zarządzania urządzeniami za pośrednictwem interfejsu internetowego, powiedział. Powinni korzystać z przeglądarki, takiej jak Firefox z zainstalowanym rozszerzeniem bezpieczeństwa NoScript.

Williams powiedział, że zgłosił podatności, które odkrył, do dotkniętych nią dostawców. Ich odpowiedzi były różne, ale generalnie najlepsi sprzedawcy radzili sobie najlepiej z raportami, naprawiali błędy i dzielili się informacjami z klientami, powiedział.