Forskare: Säkerhetsapparater är riddled med allvarliga sårbarheter

Flertalet av e-post- och webbgateways, brandväggar, fjärråtkomstservrar, UTM-system (united threat management) och andra säkerhetsapparater har allvarliga sårbarheter, enligt en säkerhetsforskare som analyserade produkter från flera leverantörer.

De flesta säkerhetsapparater är dåligt underhållna Linux-system med osäkra webbprogram som installerats på dem, enligt Ben Williams, en penetrationstester hos NCC Group som presenterade sin resultat torsdag på Black Hat Europe 2013 säkerhetskonferens i Amsterdam. Hans prat hade rätt till "Ironic Exploitation of Security Products."

Williams undersökte produkter från några av de ledande säkerhetsleverantörerna, inklusive Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee och Citrix. Några analyserades som en del av penetrationsprov, några som en del av produktutvärderingar för kunder och andra på fritiden.

[Läs mer: Så här tar du bort skadlig kod från din Windows-dator]

Mer än 80 procent av testade produkter hade allvarliga sårbarheter som var relativt lätta att hitta, åtminstone för en erfaren forskare, sade Williams. Många av dessa sårbarheter var i de webbaserade användargränssnitten för produkterna, sa han.

Gränssnittet till nästan alla testade säkerhetsapparater hade inget skydd mot brutal force-lösenordsprickning och hade fel på skript på platsen som möjliggjorde sessionskapning. De flesta av dem exponerade också information om produktmodellen och versionen till oautentiserade användare, vilket skulle ha gjort det enklare för angripare att upptäcka apparater som är kända för att vara sårbara.

En annan vanlig typ av sårbarhet som hittades i sådana gränssnitt var cross-site begära förfalskning. Sådana brister tillåter angripare att få åtkomst till administrationsfunktioner genom att lura autentiserade administratörer att besöka skadliga webbplatser. Många gränssnitt hade också sårbarheter som möjliggjorde kommandot injektion och privilegier eskalering.

Brister som Williams fann mindre ofta inkluderade direktautentiseringsbypass, out-of-band-cross-site-skripting, on-site request falsning, förnekande av service och SSH-felkonfiguration. Det var också många andra, mer obskyra problem, sade han.

Under sin presentation presenterade Williams flera exempel på brister som han hittills hittat i apparater från Sophos, Symantec och Trend Micro som kan användas för att få full kontroll över produkterna. En vitbok med mer information om hans fynd och rekommendationer för leverantörer och användare publicerades på NCC Groups hemsida.

Ofta på mässor hävdar leverantörer att deras produkter går på "härdat" Linux, enligt Williams. "Jag är oense," sa han.

De flesta testade apparater var faktiskt dåligt underhållna Linux-system med föråldrade kärnversioner, gamla och onödiga paket installerade och andra dåliga konfigurationer, sa Williams. Deras filsystem var heller inte "härdade", eftersom det inte fanns någon integritetskontroll, inga SELinux- eller AppArmour-kärnans säkerhetsfunktioner, och det var sällsynt att hitta icke-skrivbara eller icke körbara filsystem.

Ett stort problem är att företag tror ofta att eftersom dessa apparater är säkerhetsprodukter som skapats av säkerhetsleverantörer, är de i själva verket säkra, vilket definitivt är ett misstag, sade Williams.

Till exempel kan en angripare som får root-åtkomst på en e-post säkerhetsapparat göra mer än faktiska administratören kan, sa han. Administratören arbetar genom gränssnittet och kan bara läsa e-postmeddelanden som flaggats som skräppost, men med ett rotskal kan en angripare fånga all e-posttrafik som passerar genom apparaten, sa han. En gång i kompromiss kan säkerhetsapparater också fungera som en bas för nätverkssökningar och attacker mot andra sårbara system i nätverket.

Hur apparater kan attackeras beror på hur de används inom nätverket. I mer än 50 procent av de testade produkterna körde webgränssnittet på det externa nätverksgränssnittet, säger Williams.

Även om gränssnittet inte är direkt tillgängligt från Internet tillåter många av de identifierade bristerna reflekterande attacker, där angriparen prickar administratören eller en användare på det lokala nätverket för att besöka en skadlig sida eller att klicka på en speciellt utformad länk som startar en attack mot apparaten via webbläsaren.

Om det gäller vissa e-postgaller, angriparen kan tillverka och skicka ett e-postmeddelande med utnyttjandekod för en sårbarhet på hela webbplatsen i ämnesraden. Om e-postmeddelandet blockeras som skräppost och administratören inspekterar det i gränssnittet för apparat, körs koden automatiskt.

Att sådana sårbarheter finns i säkerhetsprodukter är ironiskt, säger Williams. Det är dock osannolikt att sådana sårbarheter kommer att utnyttjas i massanfall, men de kan användas i riktade attacker mot specifika företag som använder de utsatta produkterna, till exempel Det har varit några röster som sade att den kinesiska nätverksleverantören Huawei kanske skulle installera dolda bakdörrar i sina produkter på begäran av den kinesiska regeringen, sade Williams. Men med sårbarheter som dessa finns redan i de flesta produkter, skulle en regering antagligen inte ens behöva lägga till mer, sade han.

För att skydda sig bör företagen inte avslöja webbgränssnittet eller SSH-tjänsten som körs på dessa produkter till Internet, sa forskaren. Tillgång till gränssnittet bör också vara begränsat till det interna nätverket på grund av den reflekterande karaktären hos några av attackerna.

Administratörer bör använda en webbläsare för allmän surfning och en annan för att hantera apparaterna via webbgränssnittet, sa han. De ska använda en webbläsare som Firefox med säkerhetsprogrammet NoScript installerat, sa han.

Williams sa att han rapporterade de sårbarheter han upptäckte för de drabbade leverantörerna. Deras svar varierade, men de stora försäljarna gjorde i allmänhet det bästa arbetet med att hantera rapporterna, fixa bristerna och dela informationen med sina kunder, sa han.