Istraživač: Sigurnosni uređaji obiluju ozbiljnim ranjivostima

Većina e-mail i web pristupnika, vatrozidima, poslužiteljima s daljinskim pristupom, UTM sustavima i drugim sigurnosnim uređajima tvrde istraživači koji su analizirali proizvode višestrukih dobavljača.

Većina sigurnosnih uređaja slabo održava Linux sustave s nesigurnim web aplikacijama instaliranima na njih, tvrdi Ben Williams, tester penetracije u NCC grupi, koji je predstavio svoje nalazima u četvrtak na konferenciji o sigurnosti Black Hat Europe 2013 u Amsterdamu. Williams je istraživao proizvode nekih od vodećih dobavljača sigurnosti, uključujući Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee i Citrix. Neki su analizirani kao dio testiranja penetracije, neki kao dio procjene proizvoda za kupce, a drugi u svoje slobodno vrijeme.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Više od 80 posto testirani proizvodi imali su ozbiljne ranjivosti koje su relativno lako pronaći, barem za iskusnog istraživača, izjavio je Williams. Mnogi od tih ranjivosti bili su u web-korisničkim sučeljima proizvoda, rekao je on.

Sučelja gotovo svih testiranih sigurnosnih uređaja nisu imali zaštitu od pukotine lozinke s velikim silama i imali su manjkavosti skriptiranja na web-lokaciji koji su omogućili otmicu sesije, Većina njih je također otkrila informacije o modelu proizvoda i verziji neautentificiranim korisnicima, što bi olakšalo napadačima otkrivanje uređaja za koje se zna da su ranjivi.

Drugi uobičajeni tip ranjivosti pronađen u takvim sučeljima bio je cross-site zahtjev za krivotvorenje. Takvi nedostaci omogućuju napadačima pristup upravnim funkcijama zavaravanjem ovlaštenih administratora u posjećivanje zlonamjernih web stranica. Mnoga su sučelja imala i ranjivosti koje su omogućile inicijalnu injekciju i privilegiju eskalacije.

Nedostatci koje je Williams našao rjeđe uključuju izravne autentifikacije zaobilazećih, out-of-band cross-site skriptiranje, on-site zahtjev za krivotvorenje, uskraćivanje usluga i SSH pogrešne konfiguracije, Imao je mnogo drugih, opipljivijih problema, rekao je.

Tijekom prezentacije, Williams je predstavio nekoliko primjera nedostataka koji je prošle godine pronašao u aparatima Sophosa, Symantec i Trend Micro koji bi se mogli koristiti za postizanje potpune kontrole preko proizvoda. Na web stranici NCC grupe objavljen je bijeli papir s više pojedinosti o njegovim nalazima i preporukama za dobavljače i korisnike.

Često na sajmovima, dobavljači tvrde da njihovi proizvodi rade na "otvrdnutom" Linuxu, navodi Williams. "Ne slažem se", rekao je.

Većina ispitanih aparata zapravo su loše održavani Linux sustavi s zastarjelim verzijama kernela, instaliranim starim i nepotrebnim paketima i drugim lošim konfiguracijama, izjavio je Williams. Njihovi datotečni sustavi nisu bili "otvrdnuti", jer nije bilo provjere integriteta, nema SELinux ili AppArmour kernel sigurnosnih značajki, a bilo je rijetko pronaći neizbrisive ili neizvršive datotečne sustave.

Veliki problem je da tvrtke često smatraju da, budući da su ti uređaji sigurnosni proizvodi koje su stvorili prodavači sigurnosti, oni su inherentno sigurni, što je definitivno pogreška, kaže Williams.

Naprimjer, napadač koji dobije korijenski pristup na sigurnosnom uređaju za e-poštu može učiniti više od pravi administrator može, rekao je. Administrator radi putem sučelja i može čitati samo poruke e-pošte označene kao neželjena pošta, ali s korijenskom ljuskom napadač može uhvatiti sve poruke e-pošte koji prolaze kroz uređaj. Jednom kompromitirani, sigurnosni uređaji mogu poslužiti i kao baza za skeniranje mreže i napade na druge ranjive sustave na mreži.

Način na koji uređaji mogu biti napadnuti ovisi o tome kako su raspoređeni unutar mreže. U više od 50 posto testiranih proizvoda, web sučelje je pokrenuto na vanjskom sučelju, rekao je Williams.

Međutim, čak i ako sučelje nije izravno dostupno s Interneta, mnogi identificirani nedostaci omogućuju reflektirajuće napade, gdje napadač trikovi administratora ili korisnika na lokalnoj mreži da posjete zlonamjernu stranicu ili kliknu na posebno oblikovanu vezu koja pokreće napad na aparat putem preglednika.

U slučaju nekih pristupnika e-pošte, napadač može obrtati i poslati poruku e-pošte s iskorištavanjem koda za ranjivost skriptiranja preko web mjesta u predmetnom retku. Ako je poruka e-pošte blokirana kao neželjena poruka, a administrator ga pregledava na sučelju uređaja, kôd će se izvršiti automatski.

Činjenica da takve ranjivosti postoje u sigurnosnim proizvodima ironično je, rekla je Williams. Međutim, situacija s ne-sigurnosnim proizvodima vjerojatno je lošija, rekao je.

Malo je vjerojatno da će takve ranjivosti biti iskorištene u masovnim napadima, ali se mogu koristiti u ciljanim napadima prema određenim tvrtkama koje koriste ranjive proizvode, na primjer od strane državnih spasilačkih napadača s industrijskim špijunskim ciljevima, rekao je istraživač.

Postoje neki glasovi koji su rekli da će prodavač kineskog mrežnog operatera Huawei možda postaviti skrivene pozadine u svoje proizvode na zahtjev kineske vlade, rekao je Williams. Međutim, s ranjivostima kao što je ova već postojeća u većini proizvoda, vlada vjerojatno više ne bi trebala dodati više, rekao je.

Kako bi se zaštitili, tvrtke ne bi smjele izložiti web sučelja ili SSH servis na tim proizvoda na Internet, rekao je istraživač. Pristup sučelju također bi trebao biti ograničen na unutarnju mrežu zbog reflektivne prirode nekih napada.

Administratori bi trebali koristiti jedan preglednik za opće pregledavanje i drugačiji za upravljanje uređajima putem web sučelja, rekao je. Oni bi trebali koristiti preglednik kao što je Firefox s ugrađenim NoScript sigurnosno proširenje, rekao je.

Williams je rekao da je prijavio ranjivosti koje je otkrio pogođenim prodavačima. Njihovi se odgovori razlikovali, ali općenito su veliki dobavljači učinili najbolji posao za rukovanje izvješćima, popravljajući nedostatke i dijeljenju informacija s klijentima, rekao je.