Araştırmacı: Güvenlik araçları ciddi güvenlik açıkları ile dolu

E-posta ve Web ağ geçitleri, güvenlik duvarları, uzaktan erişim sunucuları, UTM (birleşik tehdit yönetimi) sistemleri ve diğer güvenlik aygıtlarının çoğunluğu. Çok sayıda üreticinin ürünlerini analiz eden bir güvenlik araştırmacısına göre ciddi güvenlik açıkları var.

Çoğu güvenlik cihazı, NCC Group'taki bir penetrasyon test cihazı olan Ben Williams'a göre, güvensiz Web uygulamalarına sahip Linux sistemlerini kötü bir şekilde koruyor. Perşembe günü, Amsterdam'daki Black Hat Europe 2013 güvenlik konferansında elde edilen bulgular. Konuşması “Güvenlik Ürünlerinin İronik Kullanımı” başlıklıydı.

Williams, Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee ve Citrix gibi önde gelen güvenlik sağlayıcılarının ürünlerini araştırdı. Bazıları penetrasyon testlerinin bir parçası olarak analiz edildi, bazıları müşteriler için ürün değerlendirmeleri ve bazıları da boş zamanlarında analiz edildi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Yüzde 80'den fazla Williams, test edilen ürünlerin, en azından deneyimli bir araştırmacı için görece kolay olan ciddi güvenlik açıklarına sahip olduğunu söyledi. Bu güvenlik açıklarının çoğu, ürünlerin Web tabanlı kullanıcı arayüzlerinde yer aldığını belirtti.

Hemen hemen tüm test edilmiş güvenlik cihazlarının arayüzleri, brute-force parola çatlamasına karşı bir koruma sağlamıyor ve oturumları ele geçirmesine izin veren siteler arası komut dosyası kusurlarına sahipti.. Birçoğu, saldırganların savunmasız oldukları bilinen cihazları keşfetmelerini kolaylaştıracak olan, ürün modeli ve ürün kimliği hakkında bilgi ortaya çıkardı.

Bu tür arayüzlerde bulunan diğer bir yaygın güvenlik açığı türü, siteler arasıydı. sahtecilik istemek Bu tür kusurlar, saldırganların kimliği doğrulanmış yöneticileri ziyaret eden kötü amaçlı web sitelerine kandırmak suretiyle yönetim işlevlerine erişmesini sağlar. Birçok arabirimde ayrıca, komut enjeksiyonuna ve ayrıcalık yükselmesine izin veren güvenlik açıkları da vardı.

Williams'ın daha az sıklıkta bulduğu kusurlar, doğrudan kimlik doğrulaması geçiren baypaslar, bant dışı siteler arası komut dosyası, yerinde talep sahteciliği, hizmet reddi ve SSH yanlış yapılandırması içeriyordu.. Birçok başka, daha belirsiz konu da vardı, dedi.

Sunumu sırasında Williams, geçen yıl Sophos, Symantec ve Trend Micro'dan tam kontrol elde etmek için kullanılabilen cihazlarda bulduğu çeşitli kusurları sundu. ürünler üzerinde. Onun bulguları ve satıcılar ve kullanıcılar için öneriler hakkında daha fazla ayrıntı ile bir beyaz kağıt, NCC Group web sitesinde yayınlandı.

Genellikle ticari fuarlarda, satıcılar, ürünlerinin "sertleştirilmiş" Linux üzerinde çalıştığını iddia ediyor. Williams, “Katılmıyorum” dedi.

: Test edilen cihazların çoğu, eski ve gereksiz paket sürümleri olan ve diğer kötü yapılandırılmış sürümleri olan Linux sistemlerini gerçekten zayıf bir şekilde koruyordu. Hiçbir dosya denetimi, SELinux veya AppArmour çekirdeği güvenlik özellikleri bulunmadığından ve yazılabilir olmayan veya çalıştırılamayan dosya sistemlerini bulmak nadiren olduğu için dosya sistemleri ya “sertleştirilmemiş” idi.

Büyük bir sorun şirketlerin çoğu zaman, bu cihazların güvenlik sağlayıcıları tarafından yaratılan güvenlik ürünleri olduğundan, bunların kesinlikle bir hata olduğuna inanmaktadırlar. Williams, dedi.

Örneğin, bir e-posta güvenlik cihazında root erişimi elde eden bir saldırgan, gerçek yönetici yapabilir, dedi. Yönetici arayüz üzerinden çalışır ve yalnızca spam olarak işaretlenen e-postaları okuyabilir, ancak bir kök kabuk ile bir saldırganın cihazdan geçen tüm e-posta trafiğini yakalayabileceğini söyledi. Güvenlik önlemleri ele geçirildikten sonra, ağ taramaları ve ağdaki diğer hassas sistemlere karşı saldırılar için de bir temel görevi görebilir.

Cihazların saldırıya uğraması, ağ içinde nasıl konuşlandırıldıklarına bağlıdır. Test edilen ürünlerin yüzde 50'sinden fazlasında, web arayüzü harici ağ arayüzünde çalıştı, dedi Williams.

Bununla birlikte, arayüz internetten doğrudan erişilemese bile, tespit edilen kusurların çoğu yansıtıcı saldırılara izin veriyor, saldırganın kötü amaçlı bir sayfayı ziyaret etmek için yerel ağdaki bir yönetici veya bir kullanıcıyı hile yapması ya da tarayıcıları aracılığıyla cihaza bir saldırı başlatan özel hazırlanmış bir bağlantıyı tıklaması.

Bazı e-posta ağ geçitlerinde, saldırganın konu satırında siteler arası komut dosyası güvenlik açığı için bir istismar kodu içeren bir e-posta gönderebilir ve gönderebilir. E-posta spam olarak engellendiyse ve yönetici bunu cihaz arayüzünde inceliyorsa, kod otomatik olarak yürütülür.

Güvenlik ürünlerinde bu tür güvenlik açıklarının bulunması ironiktir, Williams. Ancak, güvenlikle ilgili olmayan ürünlerle ilgili durum muhtemelen daha kötüdür.

Bu tür güvenlik açıklarının kitlesel saldırılarda istismar edilmemesi olasıdır, ancak savunmasız ürünleri kullanan belirli şirketlere karşı hedefe yönelik saldırılarda kullanılabilirler. Williams, endüstriyel casusluk hedefleri olan devlet destekli saldırganların yaptığı açıklamada, Çinli ağ satıcısı Huawei'nin Çin hükümetinin talebi üzerine kendi ürünlerinde gizli arka kapılar kurduğunu söyleyen bazı sesler olduğunu söyledi. Ancak, çoğu üründe zaten mevcut olan güvenlik açıkları ile, bir hükümetin muhtemelen daha fazla eklemesi gerekmeyeceğini de belirtti.

Şirketler kendilerini korumak için Web arayüzlerini veya bunlarla çalışan SSH hizmetini ortaya çıkarmamalıdır. Araştırmacı, internete ürün verdiğini söyledi. Arayüze erişim, bazı atakların yansıtıcı niteliğinden dolayı iç ağ ile de sınırlı olmalıdır.

Yöneticiler, genel tarama için bir tarayıcı kullanmalı ve Web arayüzünden araçları yönetmek için farklı bir tane kullanmalıdır. Firefox gibi bir tarayıcıyı, NoScript güvenlik eklentisi yüklü olarak kullanmalı, dedi.

Williams, etkilenen satıcılara bulduğu güvenlik açıklarını bildirdiğini söyledi. Yanıtları değişti, ancak genel olarak büyük satıcılar raporları ele alma, kusurları düzeltme ve bilgiyi müşterileriyle paylaşma konusunda en iyi işi yaptılar.