2013年3月19日 星期二

歐洲Black Hat報告:安全設備不安全!


歐洲Black Hat報告:安全設備不安全!


安全設備的存在是為了抵擋資安威脅,這也使得企業常常誤以為安全設備非常安全,然而,一名資安專家指出,多數的安全設備存在安全漏洞,包括電子郵件和網頁閘道器、防火牆、遠端存取伺服器、整合式威脅管理(United Threat Management,UTM)等。

在日前(3/14)舉辦的黑帽(Black Hat)歐洲2013安全會議上,NCC Group的滲透測試員Ben Williams指出,他針對市面上許多安全設備進行調查,其中不乏賽門鐵克(Symantec)、Sophos、趨勢科技(Trend Micro)、思科(Cisco)、Barracuda、McAfee和Citrix等知名廠商的產品,卻發現超過80%的產品存在嚴重的安全漏洞,而且這些漏洞很容易就可以被找到。

Williams表示,安全設備不安全的原因在於:使用缺乏維護的Linux系統、Web管理介面漏洞多。由於安全設備使用的Linux系統,多為老舊的內核版本(kernel version),或是安裝老舊和不必要的套件,以及缺乏妥善的配置,而且文件系統沒有完整的確認功能、缺乏SELinux或AppArmour內核安全功能,並且缺乏無法寫入和執行的機制

至於Web管理介面的漏洞則有:
1. 無法防禦暴力密碼破解法(brute-force password cracking)及跨網站腳本的攻擊(XSS, Cross-Site Scripting);
2. 未經身分驗證的用戶可以查詢到產品型號和版本(這也使得攻擊者更容易尋找到這些設備);
3. 跨站請求偽造(CSRF/XSRF, Cross-site Request Forgery),即攻擊者誘騙管理員造訪惡意網站,進而取得管理權限,以及指令插入弱點(Command injection)和權限提升(privilege escalation)等。

至於攻擊方式,則視該設備在網路中的部署而定。Williams表示,安全設備上的漏洞不太可能被應用在大規模的攻擊,但很可能做為目標式攻擊之用,因此目前已經將研究結果通報給相關廠商,而多數廠商也著手開始修補這些漏洞。

另一方面,Williams也建議,為了避免這些漏洞被攻擊者運用,企業最好不要在外部網路環境執行Web管理介面和SSH服務,並將存取權限限制在內部網路中,而管理設備的Web界面也應該使用獨立的瀏覽器,與其他應用進行區隔,以盡可能降低安全風險。

轉載自《資安人科技網》