Ricercatore: le appliance di sicurezza sono piene di gravi vulnerabilità

La maggior parte dei gateway e-mail e Web, firewall, server di accesso remoto, sistemi UTM (gestione integrata delle minacce) e altri dispositivi di sicurezza hanno gravi vulnerabilità, secondo un ricercatore di sicurezza che ha analizzato prodotti di più fornitori.

La maggior parte delle appliance di sicurezza sono sistemi Linux mal gestiti con applicazioni Web non sicure installate su di essi, secondo Ben Williams, un penetration tester presso NCC Group, che ha presentato il suo risultati giovedì alla conferenza sulla sicurezza di Black Hat Europe 2013 ad Amsterdam. Il suo discorso era intitolato "Sfruttamento ironico dei prodotti di sicurezza".

Williams ha studiato i prodotti di alcuni dei principali fornitori di sicurezza, tra cui Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee e Citrix. Alcuni sono stati analizzati come parte dei test di penetrazione, alcuni come parte delle valutazioni dei prodotti per i clienti e altri nel tempo libero.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Oltre l'80% del I prodotti testati presentavano serie vulnerabilità che erano relativamente facili da trovare, almeno per un ricercatore esperto, ha detto Williams. Molte di queste vulnerabilità erano nelle interfacce utente basate sul Web dei prodotti, ha affermato.

Le interfacce di quasi tutte le appliance di sicurezza testate non avevano alcuna protezione contro il crack delle password brute-force e avevano difetti di scripting cross-site che consentivano il dirottamento di sessione. La maggior parte di questi ha anche esposto informazioni sul modello e la versione del prodotto agli utenti non autenticati, il che avrebbe reso più facile agli hacker scoprire dispositivi noti per essere vulnerabili.

Un altro tipo comune di vulnerabilità trovato in tali interfacce era il cross-site richiedere la falsificazione. Tali difetti consentono agli aggressori di accedere alle funzioni di amministrazione ingannando gli amministratori autenticati a visitare siti Web dannosi. Molte interfacce avevano anche vulnerabilità che consentivano l'iniezione di comandi e l'escalation dei privilegi.

Difetti che Williams trovava meno frequentemente includevano bypass diretti, scripting cross-site fuori banda, falsificazione delle richieste in loco, negazione del servizio e configurazione errata SSH. C'erano anche molti altri problemi più oscuri, ha detto.

Durante la sua presentazione, Williams ha presentato diversi esempi di difetti riscontrati l'anno scorso in appliance di Sophos, Symantec e Trend Micro che potrebbero essere utilizzate per ottenere il pieno controllo sopra i prodotti. Un libro bianco con maggiori dettagli sulle sue scoperte e raccomandazioni per venditori e utenti è stato pubblicato sul sito Web del Gruppo NCC.

Spesso nelle fiere, i venditori affermano che i loro prodotti girano su Linux "hardened", secondo Williams. "Non sono d'accordo", ha detto.

La maggior parte delle appliance testate erano sistemi Linux con scarsa manutenzione con versioni obsolete del kernel, pacchetti vecchi e non necessari installati e altre configurazioni scadenti, ha detto Williams. Anche i loro file system non erano "induriti", in quanto non vi era alcun controllo di integrità, nessuna funzionalità di sicurezza del kernel di SELinux o AppArmour, ed era raro trovare sistemi di file non scrivibili o non eseguibili.

Un grosso problema è che le aziende spesso credono che siccome queste appliance sono prodotti di sicurezza creati da venditori di sicurezza, sono intrinsecamente sicure, il che è sicuramente un errore, ha detto Williams.

Ad esempio, un utente malintenzionato che ottiene l'accesso di root su un'appliance di sicurezza della posta elettronica può fare più del l'amministratore effettivo può, ha detto. L'amministratore lavora attraverso l'interfaccia e può solo leggere le e-mail contrassegnate come spam, ma con una shell di root un utente malintenzionato può catturare tutto il traffico e-mail che passa attraverso l'appliance, ha affermato. Una volta compromessi, le appliance di sicurezza possono anche fungere da base per scansioni di rete e attacchi contro altri sistemi vulnerabili sulla rete.

Il modo in cui gli appliance possono essere attaccati dipende da come vengono distribuiti all'interno della rete. In oltre il 50% dei prodotti testati, l'interfaccia Web è stata eseguita sull'interfaccia di rete esterna, ha detto Williams.

Tuttavia, anche se l'interfaccia non è direttamente accessibile da Internet, molti dei difetti identificati consentono attacchi riflettenti, dove l'hacker inganna l'amministratore o un utente della rete locale a visitare una pagina dannosa o fare clic su un collegamento appositamente predisposto che lancia un attacco contro l'appliance tramite il browser.

Nel caso di alcuni gateway di posta elettronica, l'utente malintenzionato può creare e inviare un'e-mail con codice exploit per una vulnerabilità di cross-site scripting nella riga dell'oggetto. Se l'e-mail è bloccata come spam e l'amministratore lo controlla nell'interfaccia dell'appliance, il codice verrà eseguito automaticamente.

Il fatto che tali vulnerabilità esistano nei prodotti di sicurezza è ironico, ha affermato Williams. Tuttavia, la situazione con prodotti non correlati alla sicurezza è probabilmente peggiore, ha affermato.

È improbabile che tali vulnerabilità vengano sfruttate in attacchi di massa, ma potrebbero essere utilizzate in attacchi mirati contro società specifiche che utilizzano i prodotti vulnerabili, ad esempio

Ci sono state alcune voci che dicono che il fornitore cinese di reti Huawei potrebbe installare backdoor nascoste nei suoi prodotti su richiesta del governo cinese, ha detto Williams. Tuttavia, con vulnerabilità come queste già esistenti nella maggior parte dei prodotti, un governo probabilmente non avrebbe nemmeno bisogno di aggiungere altro, Per proteggersi, le aziende non dovrebbero esporre le interfacce Web o il servizio SSH in esecuzione su questi prodotti per Internet, ha detto il ricercatore. L'accesso all'interfaccia dovrebbe inoltre essere limitato alla rete interna a causa della natura riflessiva di alcuni degli attacchi.

Gli amministratori dovrebbero utilizzare un browser per la navigazione generale e uno diverso per la gestione delle appliance tramite l'interfaccia Web, ha affermato. Dovrebbero usare un browser come Firefox con l'estensione di sicurezza NoScript installata, ha detto.

Williams ha dichiarato di aver segnalato le vulnerabilità scoperte ai fornitori interessati. Le loro risposte sono state diverse, ma in generale i grandi venditori hanno fatto il miglior lavoro nel gestire i report, correggere i difetti e condividere le informazioni con i loro clienti, ha detto.