นักวิจัย: อุปกรณ์รักษาความปลอดภัยมีช่องโหว่ร้ายแรง

ส่วนใหญ่เป็นอีเมล์และเกตเวย์เว็บไฟร์วอลล์เซิร์ฟเวอร์การเข้าถึงระยะไกลระบบการจัดการภัยคุกคามแบบยูนิท มีความเสี่ยงที่ร้ายแรงมากตามที่นักวิจัยด้านความปลอดภัยได้วิเคราะห์ผลิตภัณฑ์จากผู้ขายรายต่างๆ

อุปกรณ์รักษาความปลอดภัยส่วนใหญ่ไม่ได้รับการบำรุงรักษาอย่างดีระบบ Linux พร้อมกับโปรแกรมประยุกต์บนเว็บที่ไม่ปลอดภัยที่ติดตั้งอยู่บนเครื่องตาม Ben Williams ผู้ทดสอบการเจาะระบบที่ NCC Group ในวันพฤหัสบดีที่ประชุมความปลอดภัย Black Hat Europe 2013 ในเมืองอัมสเตอร์ดัม Williams ได้ตรวจสอบผลิตภัณฑ์จากผู้จำหน่ายด้านความปลอดภัยชั้นนำเช่น Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee และ Citrix บางส่วนได้รับการวิเคราะห์เป็นส่วนหนึ่งของการทดสอบการเจาะบางส่วนเป็นส่วนหนึ่งของการประเมินผลิตภัณฑ์สำหรับลูกค้าและอื่น ๆ ในเวลาว่างของเขา

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

มากกว่า 80 เปอร์เซ็นต์ของ ผลิตภัณฑ์ที่ผ่านการทดสอบแล้วมีช่องโหว่ที่ร้ายแรงซึ่งหาได้ง่ายนักอย่างน้อยสำหรับนักวิจัยที่มีประสบการณ์วิลเลียมส์กล่าว ช่องโหว่เหล่านี้อยู่ในอินเทอร์เฟซผู้ใช้ที่ใช้ Web-based ของผลิตภัณฑ์เขากล่าว

ส่วนติดต่อของอุปกรณ์รักษาความปลอดภัยที่ผ่านการทดสอบเกือบทั้งหมดไม่มีการป้องกันการแตกรหัสผ่านแบบ brute-force และมีข้อบกพร่องในการเขียนสคริปต์ข้ามไซต์. ซึ่งส่วนใหญ่จะเปิดเผยข้อมูลเกี่ยวกับรูปแบบผลิตภัณฑ์และเวอร์ชั่นแก่ผู้ใช้ที่ไม่ได้รับการพิสูจน์ตัวตนซึ่งจะทำให้ผู้โจมตีสามารถตรวจพบเครื่องใช้ที่มีช่องโหว่ได้ง่ายขึ้น

อีกหนึ่งช่องโหว่ทั่วไปที่พบในอินเทอร์เฟซดังกล่าวคือไซต์ข้าม ร้องขอการปลอมแปลง ข้อบกพร่องดังกล่าวช่วยให้ผู้โจมตีสามารถเข้าถึงฟังก์ชันการดูแลระบบได้โดยการหลอกล่อให้ผู้ดูแลระบบที่ได้รับการตรวจสอบสิทธิ์เข้าสู่เว็บไซต์ที่เป็นอันตราย อินเตอร์เฟซจำนวนมากยังมีช่องโหว่ที่อนุญาตให้มีการฉีดคำสั่งและการเพิ่มสิทธิพิเศษ

ข้อบกพร่องที่วิลเลียมส์พบน้อยลง ได้แก่ การข้ามผ่านการตรวจสอบโดยตรงการเขียนสคริปต์ข้ามไซต์นอกวงการปลอมแปลงคำขอในสถานที่การปฏิเสธบริการและการกำหนดค่า SSH อย่างไม่ถูกต้อง. ในช่วงที่เขานำเสนอ Williams นำเสนอตัวอย่างข้อบกพร่องหลายประการที่เขาพบเมื่อปีที่แล้วเกี่ยวกับเครื่องใช้ไฟฟ้าจาก Sophos, Symantec และ Trend Micro ที่สามารถใช้ควบคุมได้อย่างเต็มที่ เหนือผลิตภัณฑ์ กระดาษสีขาวที่มีรายละเอียดเพิ่มเติมเกี่ยวกับข้อค้นพบของเขาและคำแนะนำสำหรับผู้ขายและผู้ใช้ถูกเผยแพร่บนเว็บไซต์ของ NCC Group

บ่อยครั้งที่งานแสดงสินค้าผู้ขายอ้างว่าผลิตภัณฑ์ของตนทำงานบน Linux ที่ "แข็ง" "ผมไม่เห็นด้วย" เขากล่าว

เครื่องที่ผ่านการทดสอบส่วนใหญ่เป็นระบบรักษาความปลอดภัยที่ล้าสมัยที่มีเวอร์ชั่นของเคอร์เนลล้าสมัยติดตั้งแพ็คเกจเก่าและไม่จำเป็นและมีการกำหนดค่าที่ไม่ดีอื่น ๆ ระบบไฟล์ของพวกเขาไม่ได้ "แข็ง" อย่างใดอย่างหนึ่งเนื่องจากไม่มีการตรวจสอบความสมบูรณ์ไม่มีคุณลักษณะด้านความปลอดภัยของ SELinux หรือ AppArmour kernel และหายากมากที่จะหาระบบไฟล์ที่ไม่สามารถเขียนได้หรือไม่สามารถกระทำได้

ปัญหาใหญ่คือ บริษัท ต่างๆ บ่อยครั้งที่เชื่อว่าเนื่องจากอุปกรณ์เหล่านี้เป็นผลิตภัณฑ์รักษาความปลอดภัยที่สร้างขึ้นโดยผู้ให้บริการความปลอดภัยพวกเขามีความปลอดภัยโดยธรรมชาติซึ่งเป็นความผิดพลาดอย่างแน่นอน Williams กล่าวว่า

เช่นผู้บุกรุกที่มีสิทธิ์เข้าถึง root บนอุปกรณ์รักษาความปลอดภัยอีเมลสามารถทำได้มากกว่า ผู้บริหารที่แท้จริงสามารถเขากล่าวว่า ผู้ดูแลระบบทำงานผ่านอินเทอร์เฟซและสามารถอ่านอีเมลที่ถูกตั้งค่าสถานะเป็นสแปมเท่านั้น แต่ผู้โจมตีสามารถโจมตีการรับส่งอีเมลทั้งหมดผ่านเครื่องได้ อุปกรณ์รักษาความปลอดภัยสามารถใช้เป็นฐานสำหรับการสแกนเครือข่ายและการโจมตีระบบอื่น ๆ ที่มีช่องโหว่ในเครือข่าย

วิธีการที่เครื่องใช้สามารถถูกโจมตีขึ้นอยู่กับวิธีการใช้งานภายในเครือข่าย ในส่วนของผลิตภัณฑ์ที่ผ่านการทดสอบแล้วกว่า 50 เปอร์เซ็นต์อินเตอร์เฟซ Web ใช้อินเทอร์เฟซเครือข่ายภายนอกวิลเลียมส์กล่าวอย่างไรก็ตามแม้ว่าอินเทอร์เฟซจะไม่สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ตข้อบกพร่องที่ระบุไว้หลายข้อก็คือการโจมตีแบบสะท้อน ซึ่งผู้โจมตีหรือผู้ใช้ในเครือข่ายท้องถิ่นจะเข้าชมหน้าเว็บที่เป็นอันตรายหรือคลิกที่ลิงก์ที่สร้างขึ้นโดยเฉพาะที่เรียกใช้การโจมตีเครื่องผ่านเบราว์เซอร์

ในกรณีของเกตเวย์อีเมลผู้โจมตี สามารถสร้างและส่งอีเมลพร้อมรหัสการใช้ประโยชน์จากช่องโหว่ในการเขียนสคริปต์ข้ามไซต์ในบรรทัดเรื่อง หากอีเมลถูกบล็อกเป็นสแปมและผู้ดูแลระบบตรวจสอบข้อมูลดังกล่าวในอินเทอร์เฟซอุปกรณ์รหัสจะทำงานโดยอัตโนมัติ

ความเสี่ยงที่ช่องโหว่ดังกล่าวมีอยู่ในผลิตภัณฑ์รักษาความปลอดภัยเป็นเรื่องน่าขันวิลเลียมส์กล่าว อย่างไรก็ตามสถานการณ์กับผลิตภัณฑ์ที่ไม่รักษาความปลอดภัยอาจเลวร้ายลงเขากล่าวว่า

ไม่น่าเป็นไปได้ว่าช่องโหว่ดังกล่าวจะใช้ประโยชน์ในการโจมตีแบบกลุ่ม แต่อาจใช้ในการโจมตีเป้าหมายเฉพาะกับ บริษัท ที่ใช้ผลิตภัณฑ์ที่มีช่องโหว่เช่น ผู้สื่อข่าวได้กล่าวว่าผู้ผลิตระบบเครือข่ายของจีน Huawei อาจติดตั้งแบ็คอัพที่ซ่อนไว้ในผลิตภัณฑ์ของตนตามคำร้องขอของรัฐบาลจีน Williams กล่าว แต่ด้วยช่องโหว่เช่นนี้มีอยู่แล้วในผลิตภัณฑ์ส่วนใหญ่รัฐบาลอาจจะไม่จำเป็นต้องเพิ่มมากขึ้นเขากล่าวว่า

เพื่อป้องกันตัวเอง บริษัท ไม่ควรเปิดเผยอินเตอร์เฟซเว็บหรือบริการ SSH ทำงานบนเหล่านี้ ผลิตภัณฑ์ไปยังอินเทอร์เน็ตนักวิจัยกล่าวว่า การเข้าใช้อินเทอร์เฟซควรถูก จำกัด ไว้ที่เครือข่ายภายในเนื่องจากลักษณะการโจมตีบางส่วน

ผู้ดูแลระบบควรใช้เบราเซอร์สำหรับการเรียกดูทั่วไปและเบราว์เซอร์อื่นสำหรับจัดการเครื่องใช้ต่างๆผ่านเว็บอินเตอร์เฟส พวกเขาควรใช้เบราว์เซอร์เช่น Firefox ที่มีการติดตั้งส่วนขยายความปลอดภัย NoScript ไว้เขากล่าวว่า

Williams กล่าวว่าเขารายงานช่องโหว่ที่เขาค้นพบไปยังผู้ขายที่ได้รับผลกระทบ คำตอบของพวกเขาแตกต่างกันออกไป แต่โดยทั่วไปแล้วผู้ค้ารายใหญ่สามารถจัดการรายงานได้อย่างถูกต้องแก้ไขข้อบกพร่องและแบ่งปันข้อมูลกับลูกค้าของพวกเขาเขากล่าวว่า