Ερευνητής: Οι συσκευές ασφαλείας είναι γεμάτες με σοβαρά τρωτά σημεία

Η πλειοψηφία των πύλες ηλεκτρονικού ταχυδρομείου και Web, τείχη προστασίας, διακομιστές απομακρυσμένης πρόσβασης, συστήματα UTM και άλλες συσκευές ασφαλείας σύμφωνα με τον Ben Williams, έναν ελεγκτή διείσδυσης στον Όμιλο NCC, ο οποίος παρουσίασε την παρουσία του σε πολλά προϊόντα, ευρήματα την Πέμπτη στη διάσκεψη ασφάλειας Blackham Europe 2013 στο Άμστερνταμ. Ο Williams διερεύνησε προϊόντα από μερικούς από τους κορυφαίους πωλητές ασφάλειας, συμπεριλαμβανομένων των Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee και Citrix. Ορισμένοι αναλύθηκαν ως μέρος των δοκιμών διείσδυσης, μερικοί ως μέρος των αξιολογήσεων προϊόντων για τους πελάτες και άλλοι στον ελεύθερο χρόνο του.

[Περισσότερες πληροφορίες: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας με Windows]

Περισσότερο από το 80% τα δοκιμασμένα προϊόντα είχαν σοβαρές ευπάθειες που ήταν σχετικά εύκολο να βρεθούν, τουλάχιστον για έναν έμπειρο ερευνητή, είπε ο Williams. Πολλές από αυτές τις ευπάθειες ήταν στις διασυνδέσεις των προϊόντων που βασίζονται στο Web των προϊόντων, ανέφερε.

Οι διεπαφές σχεδόν όλων των συσκευών ασφαλείας που ελέγχθηκαν δεν είχαν καμία προστασία από τη ρωγμή κωδικών πρόσβασης σε βίαιες δυνάμεις και είχαν ελαττώματα δέσμης ενεργειών μεταξύ των ιστότοπων,. Οι περισσότεροι από αυτούς εξέθεσαν επίσης πληροφορίες σχετικά με το μοντέλο και την έκδοση του προϊόντος σε χρήστες που δεν έχουν ταυτοποιηθεί, γεγονός που θα διευκόλυνε τους επιτιθέμενους να ανακαλύψουν συσκευές που είναι γνωστό ότι είναι ευάλωτες.

Ένας άλλος κοινός τύπος ευπάθειας που βρέθηκε σε τέτοιες διεπαφές ήταν η διασταύρωση ζητήστε πλαστογραφία. Τέτοιες αδυναμίες επιτρέπουν στους επιτιθέμενους να αποκτήσουν πρόσβαση σε λειτουργίες διαχείρισης με εξαφάνιση των πιστοποιημένων διαχειριστών σε επισκέψεις σε κακόβουλους ιστότοπους. Πολλές διασυνδέσεις είχαν επίσης ευπάθειες που επέτρεψαν την εισαγωγή εντολών και την κλιμάκωση των προνομίων.

Αδυναμίες που βρέθηκαν λιγότερο συχνά από τον Ουίλιαμς περιλάμβαναν παράκαμψη άμεσης επαλήθευσης ταυτότητας, ενδοεπιχειρησιακή δέσμη ενεργειών, επιτόπια παραίτηση αίτησης, άρνηση εξυπηρέτησης και λανθασμένη διαμόρφωση SSH. Κατά τη διάρκεια της παρουσίασής του, ο Williams παρουσίασε αρκετά παραδείγματα αδυναμιών που κατάφερε να βρει πέρυσι σε συσκευές της Sophos, της Symantec και της Trend Micro που θα μπορούσαν να χρησιμοποιηθούν για να αποκτήσουν πλήρη έλεγχο σχετικά με τα προϊόντα. Μια λευκή βίβλος με περισσότερες λεπτομέρειες σχετικά με τα ευρήματά της και τις συστάσεις για πωλητές και χρήστες δημοσιεύθηκε στον ιστότοπο του Ομίλου NCC.

Συχνά στις εμπορικές εκθέσεις, οι πωλητές ισχυρίζονται ότι τα προϊόντα τους τρέχουν σε "σκληρυνόμενο" Linux, σύμφωνα με τον Williams. "Διαφωνώ", ανέφερε.

Οι περισσότερες συσκευές που δοκιμάστηκαν ήταν πραγματικά ελαφρώς συντηρημένα συστήματα Linux με ξεπερασμένες εκδόσεις πυρήνα, εγκατεστημένα παλιά και άχρηστα πακέτα και άλλες κακές διαμορφώσεις, δήλωσε ο Williams. Τα συστήματα αρχείων τους δεν είχαν «σκληρυνθεί», καθώς δεν υπήρχε έλεγχος ακεραιότητας, δεν υπήρχαν χαρακτηριστικά ασφάλειας του πυρήνα SELinux ή AppArmour και ήταν σπάνιο να βρεθούν μη αρχειοθετημένα ή μη εκτελέσιμα συστήματα αρχείων.

Ένα μεγάλο πρόβλημα είναι ότι οι εταιρείες συχνά πιστεύουν ότι επειδή αυτές οι συσκευές είναι προϊόντα ασφαλείας που δημιουργούνται από προμηθευτές ασφαλείας, είναι εγγενώς ασφαλείς, κάτι που είναι σίγουρα ένα λάθος, δήλωσε ο Williams.

Για παράδειγμα, ένας εισβολέας που αποκτά πρόσβαση root σε ένα ηλεκτρονικό ταχυδρομείο ασφαλείας μπορεί να κάνει περισσότερα από πραγματικός διαχειριστής μπορεί, είπε. Ο διαχειριστής λειτουργεί μέσω της διασύνδεσης και μπορεί μόνο να διαβάσει μηνύματα ηλεκτρονικού ταχυδρομείου που επισημαίνονται ως ανεπιθύμητα, αλλά με ένα ριζικό κέλυφος ένας εισβολέας μπορεί να συλλάβει όλη την κυκλοφορία ηλεκτρονικού ταχυδρομείου που διέρχεται μέσω της συσκευής, είπε. Μόλις καταστραφούν, οι συσκευές ασφαλείας μπορούν επίσης να χρησιμεύσουν ως βάση για δικτυακές σαρώσεις και επιθέσεις σε άλλα ευάλωτα συστήματα στο δίκτυο.

Ο τρόπος με τον οποίο μπορούν να επιτεθούν συσκευές εξαρτάται από τον τρόπο με τον οποίο αναπτύσσονται μέσα στο δίκτυο. Σε περισσότερο από το 50% των δοκιμασμένων προϊόντων, η διεπαφή Web έτρεξε στην εξωτερική διασύνδεση δικτύου, δήλωσε ο Williams.

Ωστόσο, ακόμη και αν η διεπαφή δεν είναι άμεσα προσβάσιμη από το Διαδίκτυο, πολλά από τα εντοπισμένα ελαττώματα επιτρέπουν ανακλαστικές επιθέσεις, όπου ο εισβολέας κόλπα τον διαχειριστή ή έναν χρήστη στο τοπικό δίκτυο για να επισκεφτεί μια κακόβουλη σελίδα ή να κάνει κλικ σε έναν ειδικά σχεδιασμένο σύνδεσμο που ξεκινάει μια επίθεση κατά της συσκευής μέσω του προγράμματος περιήγησης.

Σε ορισμένες πύλες ηλεκτρονικού ταχυδρομείου, ο εισβολέας μπορεί να δημιουργήσει και να στείλει ένα μήνυμα ηλεκτρονικού ταχυδρομείου με κώδικα εκμετάλλευσης για μια ευπάθεια σενάριο μεταξύ ιστοτόπων στη γραμμή θέματος. Εάν το ηλεκτρονικό ταχυδρομείο είναι αποκλεισμένο ως ανεπιθύμητο και ο διαχειριστής το επιθεωρήσει στη διασύνδεση της συσκευής, ο κώδικας θα εκτελεστεί αυτόματα.

Το γεγονός ότι τέτοιες ευπάθειες υπάρχουν στα προϊόντα ασφαλείας είναι ειρωνεία, είπε ο Ουίλιαμς. Ωστόσο, η κατάσταση με τα προϊόντα που δεν αφορούν την ασφάλεια είναι πιθανόν χειρότερη, δήλωσε.

Είναι απίθανο ότι τέτοιες ευπάθειες θα αξιοποιηθούν σε μαζικές επιθέσεις, αλλά θα μπορούσαν να χρησιμοποιηθούν σε στοχευμένες επιθέσεις εναντίον συγκεκριμένων εταιρειών που χρησιμοποιούν τα ευάλωτα προϊόντα, από τους κρατούμενους επιτιθέμενους με βιομηχανικούς στόχους κατασκοπείας, δήλωσε ο ερευνητής

Υπήρξαν κάποιες φωνές που ανέφεραν ότι η κινεζική εταιρία δικτύωσης Huawei ενδέχεται να εγκαταστήσει κρυμμένα backdoors στα προϊόντα της κατόπιν αιτήματος της κινεζικής κυβέρνησης, ανέφερε ο Williams. Εντούτοις, με τρωτά σημεία όπως αυτά που υπάρχουν ήδη στα περισσότερα προϊόντα, μια κυβέρνηση δεν θα χρειαστεί να προσθέσει ακόμη περισσότερα.

Προκειμένου να προστατευθούν, οι εταιρείες δεν πρέπει να εκθέτουν τις διεπαφές Web ή την υπηρεσία SSH προϊόντα στο Διαδίκτυο, δήλωσε ο ερευνητής. Η πρόσβαση στη διεπαφή πρέπει επίσης να περιορίζεται στο εσωτερικό δίκτυο λόγω της αντανακλαστικής φύσης ορισμένων από τις επιθέσεις.

Οι διαχειριστές πρέπει να χρησιμοποιούν ένα πρόγραμμα περιήγησης για γενική περιήγηση και μια άλλη για τη διαχείριση των συσκευών μέσω της διασύνδεσης Web, ανέφερε. Θα πρέπει να χρησιμοποιήσουν ένα πρόγραμμα περιήγησης όπως ο Firefox με την επέκταση ασφαλείας NoScript που έχει εγκατασταθεί, δήλωσε.

Ο Williams είπε ότι ανέφερε τα ευπάθειες που ανακάλυψε στους επηρεαζόμενους πωλητές. Οι απαντήσεις τους ήταν ποικίλες, αλλά γενικά οι μεγάλοι πωλητές έκαναν την καλύτερη δουλειά να διαχειριστούν τις αναφορές, να διορθώσουν τις ατέλειες και να μοιραστούν τις πληροφορίες με τους πελάτες τους, δήλωσε.