Car-tech

Onderzoeker: Beveiligingsapparatuur zit vol met ernstige kwetsbaarheden

'Beveiliging heeft niet gereageerd op inbraakalarm Media Markt Hengelo'

'Beveiliging heeft niet gereageerd op inbraakalarm Media Markt Hengelo'
Anonim

Het merendeel van e-mail- en webgateways, firewalls, RAS-servers, UTM-systemen (united threat management) en andere beveiligingsapparatuur hebben ernstige kwetsbaarheden, volgens een beveiligingsonderzoeker die producten van meerdere leveranciers analyseerde.

De meeste beveiligingsapparaten zijn slecht onderhouden Linux-systemen met onveilige webtoepassingen die op hen zijn geïnstalleerd, volgens Ben Williams, een penetratietester bij NCC Group, die zijn bevindingen donderdag op de Black Hat Europe 2013 beveiligingsconferentie in Amsterdam. Zijn lezing had als titel: 'Ironische exploitatie van beveiligingsproducten'.

Williams onderzocht producten van enkele toonaangevende beveiligingsleveranciers, waaronder Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee en Citrix. Sommige zijn geanalyseerd als onderdeel van penetratietests, sommige als onderdeel van productevaluaties voor klanten en anderen in zijn vrije tijd.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Meer dan 80 procent van de geteste producten hadden ernstige kwetsbaarheden die relatief gemakkelijk te vinden waren, tenminste voor een ervaren onderzoeker, zei Williams. Veel van deze kwetsbaarheden lagen in de webgebaseerde gebruikersinterfaces van de producten, zei hij.

De interfaces van bijna alle geteste beveiligingsapparatuur hadden geen bescherming tegen brute force password cracking en hadden cross-site scriptingfouten waardoor sessie-kaping mogelijk was. De meesten van hen vertoonden ook informatie over het productmodel en de versie aan niet-geverifieerde gebruikers, waardoor aanvallers gemakkelijker kwetsbare apparaten konden vinden.

Een ander veelvoorkomend type kwetsbaarheid dat in dergelijke interfaces werd gevonden, was cross-site vraag om vervalsing. Door dergelijke tekortkomingen kunnen aanvallers toegang krijgen tot beheerfuncties door geauthenticeerde beheerders te misleiden om kwaadwillende websites te bezoeken. Veel interfaces hadden ook kwetsbaarheden die opdrachtinjectie en privilege-escalatie toestonden.

Gebreken die Williams minder vaak ontdekte, waren directe-authenticatie-bypasses, out-of-band cross-site scripting, on-site vergevingsvervalsing, denial-of-service en SSH-misconfiguratie. Er waren ook veel andere, meer obscure kwesties, zei hij.

Tijdens zijn presentatie presenteerde Williams verschillende voorbeelden van gebreken die hij vorig jaar aantrof in appliances van Sophos, Symantec en Trend Micro die kunnen worden gebruikt om volledige controle te krijgen. over de producten. Een witboek met meer details over zijn bevindingen en aanbevelingen voor verkopers en gebruikers is gepubliceerd op de NCC Group-website.

Vaak beweren leveranciers dat hun producten vaak op "verharde" Linux draaien, aldus Williams. "Ik ben het daar niet mee eens," zei hij.

De meeste geteste apparaten waren eigenlijk slecht onderhouden Linux-systemen met verouderde kernelversies, oude en onnodige pakketten geïnstalleerd en andere slechte configuraties, zei Williams. Hun bestandssystemen waren ook niet "verhard", omdat er geen integriteitscontrole was, geen SELinux- of AppArmour-kernelbeveiligingsfuncties en het zeldzaam was om niet-beschrijfbare of niet-uitvoerbare bestandssystemen te vinden.

Een groot probleem is dat bedrijven geloven vaak dat omdat deze apparaten beveiligingsproducten zijn die zijn gemaakt door beveiligingsleveranciers, ze inherent veilig zijn, wat zeker een vergissing is, zei Williams.

Een aanvaller die bijvoorbeeld root-toegang op een e-mailbeveiligingsapparaat verkrijgt, kan meer doen dan de echte beheerder kan, zei hij. De beheerder werkt via de interface en kan alleen e-mails lezen die zijn gemarkeerd als spam, maar met een root-shell kan een aanvaller al het e-mailverkeer vastleggen dat door het apparaat loopt, zei hij. Eenmaal aangetast kunnen beveiligingsapparaten ook dienen als basis voor netwerkscans en aanvallen op andere kwetsbare systemen op het netwerk.

De manier waarop apparaten kunnen worden aangevallen, is afhankelijk van hoe ze in het netwerk worden ingezet. In meer dan 50 procent van de geteste producten draaide de webinterface op de externe netwerkinterface, zei Williams.

Hoewel de interface niet rechtstreeks toegankelijk is vanaf internet, zorgen veel van de geïdentificeerde fouten voor reflectieve aanvallen, waarbij de aanvaller de beheerder of een gebruiker op het lokale netwerk doorkruist om een ​​schadelijke pagina te bezoeken of op een speciaal vervaardigde koppeling te klikken die via hun browser een aanval op het apparaat start.

In het geval van sommige e-mailgateways, is de aanvaller kan een exploit met een exploitcode opstellen en verzenden voor een cross-site scripting-kwetsbaarheid in de onderwerpregel. Als de e-mail als spam wordt geblokkeerd en de beheerder deze in de interface van het apparaat inspecteert, wordt de code automatisch uitgevoerd.

Het feit dat dergelijke beveiligingslekken in beveiligingsproducten voorkomen, is ironisch, zei Williams. Echter, de situatie met niet-beveiligingsproducten is waarschijnlijk slechter, zei hij.

Het is onwaarschijnlijk dat dergelijke kwetsbaarheden worden misbruikt bij massale aanvallen, maar ze kunnen worden gebruikt in gerichte aanvallen op specifieke bedrijven die de kwetsbare producten gebruiken, bijvoorbeeld door de staat gesponsorde aanvallers met industriële spionagedoelen, zei de onderzoeker.

Er zijn stemmen die beweren dat de Chinese netwerkverkoper Huawei op verzoek van de Chinese overheid verborgen achterdeurtjes in zijn producten zou kunnen installeren, zei Williams. Echter, met kwetsbaarheden zoals deze die al in de meeste producten voorkomen, zou een overheid waarschijnlijk niet eens meer hoeven toe te voegen, zei hij.

Om zichzelf te beschermen, mogen bedrijven de webinterfaces of de SSH-service niet laten zien producten op internet, zei de onderzoeker. Toegang tot de interface moet ook worden beperkt tot het interne netwerk vanwege de reflecterende aard van sommige van de aanvallen. Beheerders moeten één browser gebruiken voor algemeen browsen en een andere voor het beheren van de apparaten via de webinterface, zei hij. Ze zouden een browser zoals Firefox moeten gebruiken met de NoScript-beveiligingsextensie geïnstalleerd, zei Williams.

Williams zei dat hij de gevonden kwetsbaarheden aan de getroffen leveranciers meldde. Hun antwoorden varieerden, maar over het algemeen leverden de grote leveranciers de rapporten het beste op, repareerden ze de fouten en deelden ze de informatie met hun klanten, zei hij.