Výzkumník: Bezpečnostní zařízení jsou plné vážných zranitelností

Většina e-mailových a webových bran, firewallů, serverů pro vzdálený přístup, systémů UTM (jednotné hrozby) a dalších bezpečnostních zařízení podle bezpečnostního výzkumníka, který analyzoval produkty od více dodavatelů.

Většina bezpečnostních zařízení jsou špatně udržované linuxové systémy s nejistými webovými aplikacemi instalovanými na nich, říká Ben Williams, tester průniku v NCC Group, který představil jeho nálezy ve čtvrtek na konferenci o bezpečnosti Black Hat Europe 2013 v Amsterdamu. Jeho rozhovor byl nazván "Jadernou exploicí bezpečnostních produktů". Williams zkoumal produkty od předních dodavatelů zabezpečení, včetně společností Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee a Citrix. Některé z nich byly analyzovány jako součást penetračních testů, některé jako součást hodnocení produktů pro zákazníky a jiné v jeho volném čase.

Více než 80% testované produkty měly vážné zranitelnosti, které byly relativně snadné najít, alespoň pro zkušeného výzkumníka Williams řekl. Mnoho z těchto zranitelných míst bylo v uživatelských rozhraních produktů založených na webu.

Rozhraní téměř všech testovaných bezpečnostních zařízení nemělo žádnou ochranu proti prasknutí hesel brute-force a mělo skriptovací nedostatky mezi stránkami, které umožňovaly únosy z relace. Většina z nich také odhalila informace o modelu produktu a verzi pro neověřené uživatele, což by útočníkům usnadnilo objevování zařízení, o nichž je známo, že jsou zranitelné.

Dalším běžným typem zranitelnosti, které bylo v těchto rozhraních nalezeno, žádost o padělání. Takové nedostatky umožňují útočníkům přístup k administračním funkcím tím, že podvádějí ověřené administrátory do návštěv škodlivých webových stránek. Mnoho rozhraní také mělo zranitelnosti, které umožňovaly vkládání příkazů a eskalace privilegií.

Vady, které Williams zjistil méně často, zahrnovaly přímé ověření bypassů, skriptování mezi stránkami, on-site forgery, odmítnutí služby a nesprávná konfigurace SSH. "V průběhu prezentace Williams představil několik příkladů nedostatků, které v loňském roce našli v zařízeních od společností Sophos, Symantec a Trend Micro, které by mohly být využity k získání úplné kontroly přes produkty. Bližší informace o jeho zjištěních a doporučeních pro dodavatele a uživatele byly zveřejněny na internetových stránkách NCC Group.

Často na obchodních výstavách prodejci tvrdí, že jejich produkty běží na "vytvrzeném" Linuxu, podle Williamsa. "Nejvíce testovaných přístrojů byly opravdu špatně udržované linuxové systémy s zastaralými verzemi jádra, nainstalovány staré a nepotřebné balíčky a další špatné konfigurace," řekl Williams. Jejich souborové systémy nebyly "zpevněny", protože neexistovala žádná kontrola integrity, žádné jádro zabezpečení SELinux nebo AppArmour a bylo málo najít nenapravitelné nebo nespouštějící souborové systémy.

Velkým problémem je, že společnosti často se domnívají, že protože tyto přístroje jsou bezpečnostní produkty vytvořené dodavateli zabezpečení, jsou samy o sobě bezpečné, což je určitě chyba, říká Williams.

Například útočník, který získá přístup ke kořenovému přístupu k zařízení pro zabezpečení e-mailu, může dělat více než skutečný správce, řekl. Administrátor pracuje prostřednictvím rozhraní a může číst pouze e-maily označené jako spam, ale s kořenovým shellem útočník může zachytit veškerý emailový provoz procházející zařízením, řekl. Jakmile jsou tyto bezpečnostní zařízení kompromisovány, mohou sloužit také jako základ pro síťové prověřování a útoky na jiné zranitelné systémy v síti.

Způsob, jakým mohou spotřebiče napadnout, závisí na tom, jak jsou v síti nasazeny. Ve více než 50% testovaných produktů běžel webové rozhraní na externím síťovém rozhraní, uvedl Williams.

Avšak i když rozhraní není přímo přístupné z Internetu, mnohé z identifikovaných vad umožňují reflexní útoky, kde útočník popírá administrátora nebo uživatele v místní síti, aby navštívil škodlivou stránku nebo klikl na specificky vytvořený odkaz, který spouští útok prostřednictvím tohoto prohlížeče.

V případě některých e-mailových bran, útočník může vytvářet a odesílat e-mail s kódem exploit pro zranitelnost skriptování v rámci webu v řádku předmětu. Pokud je e-mail zablokován jako spam a správce jej zkontroluje v rozhraní zařízení, kód se automaticky spustí.

Skutečnost, že takové chyby zabezpečení jsou v bezpečnostních produktech, je ironická, řekl Williams. Nicméně situace s výrobky, které nesouvisejí s bezpečností, je pravděpodobně horší.

Je nepravděpodobné, že by takové zranitelnosti byly využívány při masovém útoku, ale mohly by být použity v cílených útocích proti konkrétním společnostem, které používají zranitelné produkty, například že se na žádost čínské vlády snaží Huawei instalovat ve svých produktech skryté zadní vrátky.

Některé hlasy naznačují, že čínský dodavatel sítí Huawei může na žádost čínské vlády instalovat skryté zadní vrátky. Avšak se zranitelnostmi, jako jsou ty, které již existují ve většině produktů, vláda pravděpodobně ani nebude muset přidávat více, říká.

Aby se chránily, společnosti by neměly vystavovat webové rozhraní nebo službu SSH na těchto serverech produkty na internet, řekl výzkumník. Přístup k rozhraní by měl být omezen také na interní síť kvůli reflexní povaze některých útoků.

Administrátoři by měli používat jeden prohlížeč pro všeobecné procházení a jiný pro správu zařízení prostřednictvím webového rozhraní, řekl. Měli by používat prohlížeč, jako je Firefox, s nainstalovaným rozšířením zabezpečení pro systém NoScript.

Williams uvedl, že hlásil zranitelnosti, které zjistil dodavatelům. Jejich odpovědi se lišily, ale většinou velcí prodejci dělali nejlepší práci při zpracování zpráv, opravu nedostatků a sdílení informací se svými zákazníky, řekl.