Penyelidik: Alat keselamatan penuh dengan kelemahan yang serius

Sebilangan besar e-mel dan gerbang Web, firewall, pelayan akses jauh, sistem keselamatan UTM (pengurusan ancaman bersatu) dan peralatan keselamatan lain

Kebanyakan peralatan keselamatan tidak dapat dipertahankan sistem Linux dengan aplikasi web tidak selamat yang dipasang pada mereka, menurut Ben Williams, penguji penetrasi di NCC Group, yang mempersembahkannya penemuan Khamis di persidangan keselamatan Black Hat Europe 2013 di Amsterdam. Perbincangannya berhak, "Pengeksploitasi Ironic Produk Keselamatan."

Williams menyiasat produk dari beberapa vendor keselamatan terkemuka, termasuk Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee dan Citrix. Sesetengah telah dianalisis sebagai sebahagian daripada ujian penembusan, sebahagiannya sebagai sebahagian daripada penilaian produk untuk pelanggan, dan lain-lain di masa lapangnya.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Lebih daripada 80 peratus daripada produk yang diuji mempunyai kelemahan serius yang agak mudah dicari, sekurang-kurangnya untuk penyelidik yang berpengalaman, kata Williams. Banyak kerentanan ini berada di dalam antara muka pengguna berasaskan Web, katanya.

Antara muka hampir semua peralatan keselamatan yang diuji tidak mempunyai perlindungan terhadap keretakan kata laluan kasar dan mempunyai kelemahan skrip silang tapak yang membenarkan rampasan sesi. Kebanyakan mereka juga mendedahkan maklumat tentang model produk dan versi kepada pengguna yang tidak disahkan, yang akan memudahkan penyerang untuk mengetahui peralatan yang diketahui terdedah.

Satu lagi jenis kerentanan umum yang terdapat di antara muka tersebut adalah silang tapak permintaan pemalsuan. Kelemahan tersebut membolehkan penyerang mengakses fungsi pentadbiran dengan mengesan pentadbir yang disahkan untuk melawat laman web yang berniat jahat. Banyak antara muka juga mempunyai kelemahan yang membenarkan suntikan arahan dan peningkatan keistimewaan.

Kesilapan yang didapati oleh Williams sering tidak termasuk lulus pengesahan pengesahan langsung, skrip silang tapak di luar tapak, pemalsuan permintaan di tapak, penolakan perkhidmatan dan susunan konfigurasi SSH.

Semasa pembentangannya, Williams menyampaikan beberapa contoh kekurangan yang dia dapati tahun lepas dalam peralatan dari Sophos, Symantec dan Trend Micro yang boleh digunakan untuk mendapatkan kawalan penuh atas produk.

"Saya tidak bersetuju," katanya.

Kebanyakan peralatan yang diuji sebenarnya tidak dapat diselenggara sistem Linux dengan versi kernel lama, pakej lama dan tidak perlu dipasang, dan lain-lain konfigurasi yang buruk, kata Williams. Sistem fail mereka tidak "keras" sama ada kerana tidak ada pemeriksaan integriti, tidak ada ciri keselamatan kernel SELinux atau AppArmour, dan jarang sekali mencari sistem fail yang tidak dapat ditulis atau tidak dapat dilaksanakan.

Masalah besar ialah syarikat Sebagai contoh, penyerang yang mendapat akses root pada perkakas keselamatan e-mel boleh melakukan lebih daripada yang pentadbir sebenar boleh, katanya. Pentadbir berfungsi melalui antara muka dan hanya boleh membaca e-mel yang ditandakan sebagai spam, tetapi dengan shell root penyerang dapat menangkap semua lalu lintas email yang melewati perkakas itu, katanya. Setelah dikompromikan, peralatan keselamatan juga boleh berfungsi sebagai asas bagi imbasan rangkaian dan serangan terhadap sistem terdedah lain pada rangkaian.

Cara di mana peralatan boleh diserang bergantung kepada bagaimana ia digunakan di dalam rangkaian. Dalam lebih daripada 50 peratus daripada produk yang diuji, antara muka web berlari pada antara muka rangkaian luaran, kata Williams.

Walau bagaimanapun, walaupun antara muka tidak dapat diakses secara langsung dari Internet, banyak kelemahan yang dikenal pasti membolehkan serangan reflektif, di mana penyerang menyalahkan pentadbir atau pengguna di rangkaian tempatan untuk melawat halaman berniat jahat atau mengklik pautan yang dibuat khusus yang melancarkan serangan ke atas perkakas melalui penyemak imbas mereka.

Dalam kes beberapa pintu masuk e-mel, penyerang boleh membuat kraf dan menghantar e-mel dengan mengeksploitasi kod untuk kelemahan skrip silang tapak dalam baris subjek. Jika e-mel itu disekat sebagai spam dan pentadbir memeriksanya dalam antara muka perkakas, kod tersebut akan dilaksanakan secara automatik.

Hakikat bahawa kelemahan tersebut wujud dalam produk keselamatan adalah ironis, kata Williams. Namun, keadaan dengan produk bukan keselamatan mungkin lebih buruk, katanya.

Tidak mungkin kelemahan seperti itu akan dieksploitasi dalam serangan besar-besaran, tetapi mereka boleh digunakan dalam serangan yang disasarkan terhadap syarikat-syarikat tertentu yang menggunakan produk yang rentan, misalnya oleh penyerang yang ditaja oleh negara dengan tujuan pengintipan perindustrian, kata penyelidik.

Ada beberapa suara yang mengatakan vendor rangkaian China Huawei mungkin memasang backdoors tersembunyi dalam produknya atas permintaan kerajaan China, kata Williams. Bagaimanapun, dengan kelemahan seperti ini sudah ada dalam kebanyakan produk, kerajaan mungkin tidak perlu menambah lagi, katanya.

Untuk melindungi diri mereka, syarikat tidak boleh mendedahkan antara muka Web atau perkhidmatan SSH yang dijalankan pada produk ke Internet, kata penyelidik. Akses kepada antara muka juga perlu dihadkan ke rangkaian dalaman kerana sifat reflektif beberapa serangan.

Para pentadbir harus menggunakan satu pelayar untuk melayari umum dan yang lain untuk menguruskan peralatan melalui antara muka Web, katanya. Mereka perlu menggunakan penyemak imbas seperti Firefox dengan pelanjutan keselamatan NoScript yang dipasang, katanya.

Williams berkata beliau melaporkan kelemahan yang ditemuinya kepada vendor yang terjejas. Tanggapan mereka berubah-ubah, tetapi pada umumnya vendor besar melakukan tugas terbaik menangani laporan, memperbaiki kelemahan dan berkongsi maklumat dengan pelanggan mereka, katanya.