חוקר: מכשירי אבטחה מתערבים בפגיעות חמורה

רוב הדוא"ל ושערי אינטרנט, חומות אש, שרתי גישה מרחוק, UTM (ניהול איומים מאוחדים) ומערכות אבטחה אחרות יש חששות כבדים, לדברי חוקר אבטחה אשר ניתח מוצרים מרוכבים מרובים.

רוב מכשירי האבטחה מתוחזקים היטב עם מערכות לינוקס עם יישומי אינטרנט לא מאובטחים המותקנים בהם, על פי בן וויליאמס, בודק חדירה בקבוצת NCC, שהציג את הממצאים ביום חמישי בכנס האבטחה Black Hat Europe 2013 באמסטרדם. שיחתו היתה "ניצול אירוני של מוצרי אבטחה".

וויליאמס חקרה מוצרים של כמה מספקי האבטחה המובילים, כולל סימנטק, סופוס, טרנד מיקרו, סיסקו, ברקודה, מקאפי וסיטריקס. חלקן נותחו כחלק ממבחני חדירה, חלקן במסגרת הערכות מוצרים עבור לקוחות ואחרים בזמנו הפנוי. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

למעלה מ -80% מוצרים שנבדקו היו פגיעויות חמורות שקל יחסית למצוא, לפחות עבור חוקר מנוסה, אמר ויליאמס. רבים מהפגיעויות הללו היו בממשקי המשתמש של המוצרים, אמר.

הממשקים של כמעט כל מכשירי האבטחה שנבדקו לא היו מוגנים מפני פיצוח סיסמאות בכוח הזרוע והיו להם פגמים של סקריפטים בין אתרים שאפשרו את חטיפת הפגישה. רובן גם חשפו מידע על מודל המוצר ועל גרסה למשתמשים לא מאומתים, אשר היו מקלים על התוקפים לגלות מכשירים שידוע כי הם פגיעים.

סוג נפוץ נוסף של פגיעות שנמצא בממשקים כאלה היה אתר זיוף הבקשה. פגמים אלה מאפשרים לתוקפים לגשת לפונקציות ניהול על ידי הטעיית מנהלים מאומתים לבקר באתרים זדוניים. ממשקים רבים היו גם פגיעויות שאיפשרו הזרקת פקודות והסלמה של הרשאות.

פגמים שוויליאמס מצא בתדירות נמוכה יותר של עקיפת אימות ישיר, Scripting בין אתרים מחוץ לאתר, זיוף בקשות באתר, מניעת שירות ותצורה לא נכונה של SSH. היו גם הרבה נושאים אחרים, מעורפלים יותר ", הוא אומר. במהלך הצגתו הציג ויליאמס כמה דוגמאות לליקויים שמצא בשנה שעברה במכשירי חשמל מבית Sophos, Symantec ו- Trend Micro שניתן להשתמש בהם כדי להשיג שליטה מלאה על המוצרים. במאמר שפורסם באתר האינטרנט של NCC, פורסם מאמר לבן עם פרטים נוספים על ממצאיו והמלצותיו לגבי ספקים ומשתמשים.

לעתים קרובות בתערוכות, ספקים טוענים כי מוצריהם מופעלים על לינוקס "קשוחה", על פי וויליאמס. "רוב המכשירים שנבדקו היו למעשה מערכות לינוקס מתוחכמות, עם גירסאות ליבה מיושנות, חבילות ישנות ומיותרות מותקנות ותצורות גרועות אחרות", אומר וויליאמס. מערכות הקבצים שלהם לא היו "קשוחות", שכן לא היה שום בדיקת תקינות, לא Selinux או תכונות אבטחה קרנל AppArmour, וזה היה נדיר למצוא בלתי ניתנים לכתיבה או שאינם ניתנים להפעלה.

בעיה גדולה היא כי חברות לעתים קרובות מאמינים כי מכשירים אלה הם מוצרי אבטחה שנוצרו על ידי ספקי אבטחה, הם בטוחים מאובטח, וזה בהחלט טעות, אמר ויליאמס.

לדוגמה, תוקף אשר מקבל גישה שורש על מכשיר אבטחה דוא"ל יכול לעשות יותר מאשר מנהל בפועל יכול, אמר. מנהל המערכת עובד דרך ממשק והוא יכול רק לקרוא הודעות דוא"ל מסומן כדואר זבל, אבל עם פגז שורש התוקף יכול ללכוד את כל תעבורת הדוא"ל עובר דרך המכשיר, הוא אמר. לאחר שנפרצו, מכשירי אבטחה יכולים לשמש גם כבסיס לסריקות רשת והתקפות נגד מערכות פגיעות אחרות ברשת.הדרך בה ניתן לתקוף מכשירים תלויה באופן פריסתם בתוך הרשת. יותר מ -50% מהמוצרים שנבדקו, ממשק האינטרנט פועל על הממשק החיצוני של הרשת, אמר וויליאמס. עם זאת, גם אם הממשק אינו נגיש ישירות מהאינטרנט, רבים מהליקויים המזוהים מאפשרים התקפות רפלקטיביות, שבו התוקף מערער על מנהל המערכת או על משתמש ברשת המקומית לבקר בדף זדוני או ללחוץ על קישור בעל מבנה ספציפי שיפעיל התקפה נגד המכשיר באמצעות הדפדפן שלו.

במקרה של כמה שערי דוא"ל, התוקף יכול לעצב ולשלוח הודעת דוא"ל עם קוד ניצול עבור פגיעות של סקריפטים בין אתרים בשורת הנושא. אם הדוא"ל נחסם כדואר זבל ומנהל המערכת בודק אותו בממשק המכשיר, הקוד יבוצע באופן אוטומטי.

העובדה שפגיעות מסוג זה קיימת במוצרי אבטחה היא אירונית, אמר וויליאמס. עם זאת, המצב עם מוצרים שאינם ביטחוניים הוא כנראה יותר גרוע, הוא אמר.

אין זה סביר כי פגיעויות כאלה ינצלו בהתקפות המוניות, אבל הם יכולים לשמש התקפות ממוקדות נגד חברות ספציפיות המשתמשות במוצרים פגיעים, למשל על ידי התוקפים בחסות המדינה עם מטרות הריגול התעשייתי.

היו כמה קולות שאמרו כי ספק הרשת הסינית Huawei עשוי להיות התקנת backdoors מוסתר במוצרים שלה לבקשת ממשלת סין, אמר וויליאמס. עם זאת, עם פגיעויות כמו אלה כבר קיים ברוב המוצרים, הממשלה כנראה אפילו לא צריך להוסיף עוד, אמר.

כדי להגן על עצמם, חברות לא צריך לחשוף את ממשקי האינטרנט או את השירות SSH פועל על אלה מוצרים לאינטרנט, אמר החוקר. בנוסף, יש להגביל את הגישה לממשק הפנימי בגלל האופי הרפלקסיבי של חלק מההתקפות.

מנהלי מערכת צריכים להשתמש בדפדפן אחד עבור גלישה כללית ואחד אחר לניהול מכשירים דרך ממשק האינטרנט. הם צריכים להשתמש בדפדפן כמו פיירפוקס עם תוסף האבטחה NoScript מותקן, הוא אמר.

ויליאמס אמר שהוא דיווח על נקודות התורפה שגילה את הספקים שנפגעו. התגובות שלהם השתנו, אבל באופן כללי הספקים הגדולים עשו את העבודה הטובה ביותר לטפל בדוחות, לתקן את הפגמים ולשתף את המידע עם הלקוחות שלהם, הוא אמר.