Tagapagpananaliksik: Ang mga aparatong panseguridad ay puno ng malubhang kahinaan

Ang karamihan ng mga email at Web gateways, mga firewalls, mga remote access server, mga sistema ng UTM (nagkakaisa pagbabanta) at iba pang mga security appliances

Karamihan sa mga kasangkapan sa seguridad ay hindi napapanatili ang mga sistema ng Linux na may mga hindi secure na application sa Web na naka-install sa mga ito, ayon kay Ben Williams, isang penetration tester sa NCC Group, na nagpakita sa kanyang natuklasan sa Huwebes sa Black Hat Europe 2013 security conference sa Amsterdam. Ang kanyang pahayag ay may karapatan, "Ironic Exploitation of Security Products."

Williams investigated mga produkto mula sa ilan sa mga nangungunang seguridad vendor, kabilang ang Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee at Citrix. Ang ilan ay sinusuri bilang bahagi ng mga pagsubok sa pagpasok, ang ilan bilang bahagi ng mga pagsusuri ng produkto para sa mga customer, at iba pa sa kanyang bakanteng oras.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Higit sa 80 porsiyento ng nasubukan na mga produkto ay nagkaroon ng malubhang mga kahinaan na medyo madali upang mahanap, hindi bababa sa para sa isang karanasan na tagapagpananaliksik, sinabi Williams. Marami sa mga kahinaan na ito ay nasa mga interface ng gumagamit na batay sa Web ng mga produkto, sinabi niya.

Ang mga interface ng halos lahat ng sinubok na mga appliances sa seguridad ay walang proteksyon laban sa brute-force password crack at nagkaroon ng cross-site scripting flaws na nagpapahintulot sa pag-hijack ng session. Karamihan sa kanila ay nagbunyag din ng impormasyon tungkol sa modelo ng produkto at bersyon sa mga hindi awtorisadong gumagamit, na kung saan sana ay gawing mas madali para sa mga sumalakay na matuklasan ang mga kagamitan na kilala na mahina.

Ang isa pang pangkaraniwang uri ng kahinaan na matatagpuan sa gayong mga interface ay cross-site humiling ng palsipikado. Pinahihintulutan ng ganitong mga depekto ang mga pag-atake sa pag-access sa mga function ng pangangasiwa sa pamamagitan ng pag-trick ng mga napatunayang mga administrator sa pagbisita sa mga nakakasamang website Ang maraming mga interface ay nagkaroon din ng mga kahinaan na nagpapahintulot sa command injection at privilege escalation.

Mga kapintasan na natagpuan ni Williams na mas madalas na kasama ang bypass ng direct-authentication, cross-site scripting ng out-of-band, in-site na pagpaparehistro ng kahilingan, pagtanggi ng serbisyo at maling pag-configure ng SSH. Sa kanyang presentasyon, iniharap ni Williams ang ilang halimbawa ng mga kakulangan na kanyang natagpuan noong nakaraang taon sa mga gamit mula sa Sophos, Symantec at Trend Micro na maaaring magamit upang makakuha ng ganap na kontrol sa mga produkto. Ang isang puting papel na may higit pang mga detalye tungkol sa kanyang mga natuklasan at rekomendasyon para sa mga vendor at mga gumagamit ay na-publish sa website ng NCC Group.

Kadalasan sa trade shows, ang mga vendor ay nagsasabi na ang kanilang mga produkto ay tumatakbo sa "hardened" Linux, ayon kay Williams. "Hindi sumasang-ayon ako," ang sabi niya.

Ang karamihan sa sinubok na mga kagamitan ay talagang hindi maganda na pinananatili ang mga sistemang Linux na may mga lumang bersyon ng kernel, mga lumang at hindi kinakailangang mga pakete na naka-install, at iba pang mahihirap na pagsasaayos, sinabi ni Williams. Ang kanilang mga file system ay hindi "hardened" alinman, dahil walang pagsuri sa integridad, walang SELinux o AppArmour kernel security features, at ito ay bihira upang makahanap ng di-maaaring maisulat o hindi maipapatupad na mga sistema ng file.

Ang isang malaking problema ay ang mga kumpanya madalas na naniniwala na dahil ang mga kasangkapan na ito ay mga produkto ng seguridad na nilikha ng mga vendor ng seguridad, ang mga ito ay likas na secure, na kung saan ay talagang isang pagkakamali, sinabi Williams.

Halimbawa, ang isang magsasalakay na nakakuha ng root access sa isang email seguridad appliance ay maaaring gawin ng higit sa Ang aktwal na administrator ay maaaring, sinabi niya. Gumagana ang tagapangasiwa sa pamamagitan ng interface at maaari lamang basahin ang mga email na na-flag bilang spam, ngunit may isang ugat na shell ang isang magsasalakay ay maaaring makuha ang lahat ng trapiko ng email na dumadaan sa appliance, sinabi niya. Sa sandaling nakompromiso, ang mga aparatong panseguridad ay maaari ding magsilbing base para sa mga pag-scan at pag-atake ng network laban sa iba pang mga sistemang maaaring masugatan sa network.

Ang paraan kung saan maaaring maatake ang mga kagamitan ay depende sa kung paano sila inilalagay sa loob ng network. Sa higit sa 50 porsiyento ng nasubukan na mga produkto, ang interface ng Web ay tumakbo sa panlabas na interface ng network, sinabi ni Williams.

Gayunpaman, kahit na ang interface ay hindi direktang mapupuntahan mula sa Internet, marami sa mga natukoy na mga kakulangan ay nagpapahintulot ng mga mapanimdim na pag-atake, kung saan sinasalakay ng tagasalakay ang tagapangasiwa o isang gumagamit sa lokal na network upang bisitahin ang isang nakakahamak na pahina o mag-click sa partikular na ginawa na link na naglulunsad ng atake laban sa appliance sa pamamagitan ng kanilang browser.

Sa kaso ng ilang mga email gateway, ang attacker ay maaaring mag-craft at magpadala ng isang email na may pagsasamantala code para sa isang cross-site scripting kahinaan sa linya ng paksa. Kung ang email ay hinarangan bilang spam at susuriin ng administrator ito sa interface ng appliance, ang code ay awtomatikong magsasagawa.

Ang katotohanan na ang mga kahinaan na umiiral sa mga produkto ng seguridad ay tumbalik, sinabi ni Williams. Gayunpaman, ang sitwasyon sa mga produktong hindi pang-seguridad ay malamang na mas masahol pa, sinabi niya.

Malamang na ang mga ganitong mga kahinaan ay mapagsamantalahan sa mga pag-atake sa masa, ngunit maaaring magamit ito sa mga naka-target na pag-atake laban sa mga partikular na kumpanya na gumagamit ng mga mahihinang produkto, halimbawa sa pamamagitan ng mga attackers na inisponsor ng estado na may mga layunin ng pang-industriyang paniniktik, sinabi ng researcher.

Nagkaroon ng ilang mga tinig na sinabi ng Chinese networking vendor Huawei ay maaaring i-install ang mga nakatagong backdoors sa mga produkto nito sa kahilingan ng gobyerno ng China, sinabi ni Williams. Gayunpaman, sa mga kahinaan tulad ng mga ito na umiiral na sa karamihan ng mga produkto, ang isang gobyerno ay maaaring hindi kahit na kailangan upang magdagdag ng higit pa, sinabi niya.

Upang protektahan ang kanilang sarili, ang mga kumpanya ay hindi dapat ilantad ang mga interface ng Web o ang SSH na serbisyo na tumatakbo sa mga ito ang mga produkto sa Internet, sinabi ng mananaliksik. Ang access sa interface ay dapat na limitado din sa panloob na network dahil sa mapanimdim na likas na katangian ng ilan sa mga pag-atake.

Dapat gamitin ng mga administrator ang isang browser para sa pangkalahatang pagba-browse at iba pang isa para sa pamamahala ng mga kasangkapan sa pamamagitan ng interface ng Web, sinabi niya. Dapat nilang gamitin ang isang browser tulad ng Firefox na naka-install na extension ng NoScript, sinabi niya.

Sinabi ni Williams na iniulat niya ang mga kahinaan na natuklasan niya sa mga apektadong vendor. Ang kanilang mga sagot ay iba-iba, ngunit sa pangkalahatan ang mga malalaking vendor ang gumawa ng pinakamahusay na trabaho sa paghawak ng mga ulat, pag-aayos ng mga depekto at pagbabahagi ng impormasyon sa kanilang mga customer, sinabi niya.