Исследователь: устройства безопасности пронизаны серьезными уязвимостями

Большинство почтовых и веб-шлюзов, брандмауэров, серверов удаленного доступа, систем UTM (единого управления угрозами) и других устройств безопасности имеют серьезную уязвимость, по мнению исследователя безопасности, который анализировал продукты от нескольких поставщиков.

Большинство устройств безопасности плохо поддерживают Linux-системы с небезопасными веб-приложениями, установленными на них, по словам Бена Уильямса, тест-тестировщика NCC Group, который представил свои в четверг на конференции безопасности Black Hat Europe 2013 в Амстердаме. Его беседа озаглавлена ​​«Ирочная эксплуатация продуктов безопасности».

Уильямс исследовал продукты от некоторых ведущих поставщиков безопасности, включая Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee и Citrix. Некоторые из них были проанализированы как часть тестов на проникновение, некоторые из них были частью оценки продукта для клиентов и других в свободное время.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Более 80% испытанные продукты имели серьезные уязвимости, которые были относительно легко найти, по крайней мере для опытного исследователя, сказал Уильямс. Многие из этих уязвимостей находились в веб-интерфейсах пользователей продуктов, сказал он.

Интерфейсы почти всех протестированных устройств безопасности не имели защиты от взлома паролей с грубой силой и имели недостатки межсайтового скриптинга, которые допускали захват сеанса, Большинство из них также раскрыли информацию о модели и версии продукта для пользователей, не прошедших проверку подлинности, что облегчило бы для злоумышленников обнаружение устройств, которые, как известно, уязвимы.

Другим распространенным типом уязвимости, обнаруженной в таких интерфейсах, является межсайтовый запрос подлога. Такие недостатки позволяют злоумышленникам получать доступ к административным функциям, обманывая аутентифицированных администраторов на посещение вредоносных веб-сайтов. Многие интерфейсы также обладали уязвимостями, которые позволяли вводить команды и повышать привилегии.

Недостатки, которые Уильямс нашел менее часто, включали обходные пути с прямой аутентификацией, межсайтовые межсайтовые скрипты, подделку запроса на сайте, отказ в обслуживании и неправильную конфигурацию SSH, Было много других, более неясных вопросов, сказал он.

Во время своей презентации Уильямс представил несколько примеров недостатков, которые он обнаружил в прошлом году в приборах от Sophos, Symantec и Trend Micro, которые могут быть использованы для получения полного контроля над продуктами. По словам Уильямса, часто на торговых выставках производители заявляют, что их продукты работают на «закаленной» Linux. «Я не согласен», - сказал он.

Большинство тестируемых устройств на самом деле плохо поддерживали Linux-системы с устаревшими версиями ядра, старыми и ненужными пакетами и другими плохими конфигурациями, сказал Уильямс. Их файловые системы также не были «закалены», поскольку проверки целостности не было, никаких функций безопасности ядра SELinux или AppArmour, и редко встречались неиспользуемые или неисполняемые файловые системы.

Большая проблема заключается в том, что компании часто считают, что из-за того, что эти устройства являются продуктами безопасности, создаваемыми поставщиками безопасности, они по своей сути являются безопасными, что, безусловно, является ошибкой, сказал Уильямс.

Например, злоумышленник, который получает root-доступ на устройстве безопасности электронной почты, может сделать больше, чем фактический администратор может, сказал он. Администратор работает через интерфейс и может читать только сообщения электронной почты, помеченные как спам, но с помощью корневой оболочки злоумышленник может захватить весь трафик электронной почты, проходящий через устройство, сказал он. После взлома устройства безопасности могут также служить базой для сканирования сети и атак на другие уязвимые системы в сети.

Способ, которым устройства могут быть атакованы, зависит от того, как они развертываются внутри сети. В более чем 50 процентах тестируемых продуктов веб-интерфейс работал на внешнем сетевом интерфейсе, сказал Уильямс.

Однако, даже если интерфейс не доступен напрямую из Интернета, многие из выявленных недостатков позволяют отражать атаки, где злоумышленник обманывает администратора или пользователя в локальной сети, чтобы посетить вредоносную страницу или щелкнуть по специально созданной ссылке, которая запускает атаку против устройства через их браузер.

В случае некоторых шлюзов электронной почты злоумышленник может создать и отправить электронное письмо с кодом эксплойта для уязвимости межсайтового скриптинга в строке темы. Если письмо заблокировано как спам, а администратор проверяет его на интерфейсе устройства, код будет выполняться автоматически.

Тот факт, что такие уязвимости существуют в продуктах безопасности, является ироничным, сказал Уильямс. Тем не менее, ситуация с продуктами, не относящимися к безопасности, вероятно, хуже, сказал он.

Маловероятно, что такие уязвимости будут использоваться в массовых атаках, но они могут использоваться в целенаправленных атаках на конкретные компании, которые используют уязвимые продукты, например, сказал исследователь.

Было высказано мнение, что китайский поставщик сетей Huawei может устанавливать скрытые бэкдоры в своих продуктах по просьбе китайского правительства, сказал Уильямс. Однако с такими уязвимостями, которые уже существуют в большинстве продуктов, правительству, вероятно, даже не нужно будет добавлять больше, сказал он.

Чтобы защитить себя, компаниям не следует раскрывать веб-интерфейсы или службу SSH, работающие на этих продуктов в Интернет, сказал исследователь. Доступ к интерфейсу также должен быть ограничен внутренней сетью из-за рефлексивного характера некоторых атак.

Администраторы должны использовать один браузер для общего просмотра, а другой - для управления устройствами через веб-интерфейс, сказал он. Они должны использовать браузер, такой как Firefox, с установленным расширением безопасности NoScript, сказал он.

Уильямс сказал, что сообщил об обнаруженных уязвимостях уязвимых поставщиков. По их словам, их ответы были разными, но в целом крупные поставщики работали над обработкой отчетов, исправлением недостатков и обмен информацией со своими клиентами, сказал он.