安全設(shè)備的存在是為了抵擋信息安全威脅,這也使得企業(yè)常常誤以為安全設(shè)備非常安全,然而,來自NCC Group的滲透測(cè)試專家Ben Williams指出,多數(shù)的安全設(shè)備存在安全漏洞,包括電子郵件和網(wǎng)頁網(wǎng)關(guān)、防火墻、遠(yuǎn)程訪問服務(wù)器、整合式威脅管理(United Threat Management,UTM)等。
安全設(shè)備為抵擋信息安全威脅而存在,這也使得企業(yè)常常誤以為安全設(shè)備非常安全,然而,來自NCC Group的滲透測(cè)試專家Ben Williams指出,多數(shù)的安全設(shè)備存在安全漏洞,包括電子郵件和網(wǎng)頁網(wǎng)關(guān)、防火墻、遠(yuǎn)程訪問服務(wù)器、統(tǒng)一威脅管理(United Threat Management,UTM)等。
在最近舉辦的黑帽(Black Hat)歐洲2013安全會(huì)議上,Ben Williams表示他針對(duì)市面上許多安全設(shè)備進(jìn)行調(diào)查,其中不乏賽門鐵克(Symantec)、Sophos、趨勢(shì)科技(Trend Micro)、思科(Cisco)、Barracuda、McAfee和Citrix等知名廠商的產(chǎn)品,卻發(fā)現(xiàn)超過80%的產(chǎn)品存在嚴(yán)重的安全漏洞,而且這些漏洞很容易就可以被找到。
Williams表示,安全設(shè)備不安全的原因在于:使用缺乏維護(hù)的Linux系統(tǒng)以及Web管理接口漏洞較多。由于安全設(shè)備使用的Linux系統(tǒng)多為老舊的內(nèi)核版本(kernel version),或者安裝了老舊和不必要的組件,以及缺乏妥善的配置,而且文件系統(tǒng)沒有完整的確認(rèn)功能、缺乏SELinux(安全增強(qiáng)式Linux)或AppArmour內(nèi)核安全功能,并且缺少禁止寫入和執(zhí)行的機(jī)制。
其總,Web管理接口的漏洞包括:
1. 無法防御暴力密碼破解(brute-force password cracking)和跨站腳本攻擊(XSS, Cross-Site Scripting);
2. 未經(jīng)身份驗(yàn)證的用戶可以查詢到產(chǎn)品型號(hào)和版本(這也使得攻擊者更容易尋找到這些設(shè)備);
3. 跨站請(qǐng)求偽造(CSRF/XSRF, Cross-site Request Forgery),即攻擊者誘騙管理員訪問惡意網(wǎng)站,進(jìn)而取得管理權(quán)限,以及命令注入攻擊(Command injection)和提升權(quán)限攻擊(privilege escalation)等。
至于攻擊方式,則視該設(shè)備在網(wǎng)絡(luò)中的部署情況而定。Williams表示,安全設(shè)備上的漏洞不太可能被應(yīng)用于大規(guī)模的攻擊,但很可能被用來做有針對(duì)性的攻擊,因此目前已經(jīng)將研究結(jié)果通報(bào)給相關(guān)廠商,而多數(shù)廠商也著手開始修補(bǔ)這些漏洞。
另一方面,Williams也建議,為了避免這些漏洞被攻擊者運(yùn)用,企業(yè)最好不要在外部網(wǎng)絡(luò)環(huán)境執(zhí)行Web管理接口和SSH服務(wù),并將訪問權(quán)限限制在內(nèi)部網(wǎng)絡(luò)中,而管理設(shè)備的Web界面也應(yīng)該使用獨(dú)立的瀏覽器,與其他應(yīng)用進(jìn)行隔離,以盡可能降低安全風(fēng)險(xiǎn)。
京公網(wǎng)安備 11010502049343號(hào)