Chercheur: Les systèmes de sécurité sont criblés de vulnérabilités sérieuses

Williams a étudié les produits de certains des principaux fournisseurs de solutions de sécurité, notamment Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee et Citrix. Certains ont été analysés dans le cadre de tests de pénétration, certains dans le cadre d'évaluations de produits pour les clients, et d'autres dans ses temps libres.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Plus de 80% Les produits testés avaient de sérieuses vulnérabilités qui étaient relativement faciles à trouver, du moins pour un chercheur expérimenté, a déclaré Williams.

Les interfaces de presque tous les dispositifs de sécurité testés ne bénéficiaient d'aucune protection contre la fissuration par mot de passe par force brute et comportaient des failles de script intersite qui permettaient le détournement de session.. La plupart d'entre eux ont également exposé des informations sur le modèle et la version du produit à des utilisateurs non authentifiés, ce qui aurait permis aux attaquants de découvrir plus facilement les appliances vulnérables.

demande de falsification. Ces failles permettent aux attaquants d'accéder aux fonctions d'administration en incitant les administrateurs authentifiés à visiter des sites Web malveillants. De nombreuses interfaces présentaient également des vulnérabilités permettant l'injection de commandes et l'élévation de privilèges.

Les failles que Williams rencontrait moins fréquemment incluaient les bypass d'authentification directe, les scripts intersite hors site, la falsification de requêtes sur site, le déni de service et les erreurs de configuration SSH. Au cours de sa présentation, Williams a présenté plusieurs exemples de failles qu'il a trouvées l'année dernière dans des appliances de Sophos, Symantec et Trend Micro qui pourraient être utilisées pour obtenir un contrôle total. sur les produits. Un livre blanc contenant plus de détails sur ses découvertes et recommandations à l'intention des fournisseurs et des utilisateurs a été publié sur le site Web du groupe NCC.

Souvent, les marchands affirment que leurs produits fonctionnent sur Linux «durci». "Je ne suis pas d'accord", dit-il.

La plupart des appliances testées étaient des systèmes Linux mal entretenus avec des versions de noyau obsolètes, des paquets anciens et inutiles installés, et d'autres configurations médiocres, dit Williams. Leurs systèmes de fichiers n'étaient pas "durcis" non plus, car il n'y avait pas de contrôle d'intégrité, pas de fonctionnalités de sécurité du noyau SELinux ou AppArmour, et il était rare de trouver des systèmes de fichiers non-inscriptibles ou non-exécutables. Williams croit que, parce que ces appliances sont des produits de sécurité créés par des fournisseurs de sécurité, ils sont intrinsèquement sécurisés, ce qui est certainement une erreur.

Par exemple, un attaquant qui obtient un accès root sur une appliance de sécurité email peut faire plus que administrateur réel peut, at-il dit. L'administrateur travaille à travers l'interface et ne peut lire que les courriels marqués comme spam, mais avec un shell root, un attaquant peut capturer tout le trafic de messagerie passant par l'appliance, a-t-il déclaré. Une fois compromis, les appliances de sécurité peuvent également servir de base pour les analyses de réseau et les attaques contre d'autres systèmes vulnérables sur le réseau.

La manière dont les appliances peuvent être attaquées dépend de la manière dont elles sont déployées dans le réseau. Dans plus de 50% des produits testés, l'interface Web fonctionnait sur l'interface réseau externe, dit-il.

Cependant, même si l'interface n'est pas directement accessible depuis Internet, de nombreuses failles identifiées permettent des attaques réfléchissantes, où l'attaquant incite l'administrateur ou un utilisateur sur le réseau local à visiter une page malveillante ou à cliquer sur un lien spécialement conçu qui lance une attaque contre l'appliance via leur navigateur.

Dans le cas de certaines passerelles de messagerie, l'attaquant peut créer et envoyer un e-mail avec un code d'exploitation pour une vulnérabilité de script intersite dans la ligne d'objet. Si l'email est bloqué comme spam et que l'administrateur l'inspecte dans l'interface de l'appliance, le code s'exécutera automatiquement.

Le fait que de telles vulnérabilités existent dans les produits de sécurité est ironique, a déclaré Williams.

Il est peu probable que de telles vulnérabilités soient exploitées dans des attaques de masse, mais elles pourraient être utilisées dans des attaques ciblées contre des entreprises spécifiques qui utilisent des produits vulnérables, par exemple. Selon le chercheur, des attaquants sponsorisés par l'Etat ont des objectifs d'espionnage industriel.

Selon certaines sources, le fournisseur chinois de réseaux Huawei pourrait installer des portes dérobées cachées dans ses produits à la demande du gouvernement chinois. Cependant, avec des vulnérabilités comme celles qui existent déjà dans la plupart des produits, un gouvernement n'aurait probablement pas besoin d'en rajouter.

Pour se protéger, les entreprises ne devraient pas exposer les interfaces Web ou le service SSH fonctionnant sur ces produits. produits sur Internet, a déclaré le chercheur. L'accès à l'interface devrait également être limité au réseau interne en raison de la nature réfléchissante de certaines attaques

Les administrateurs devraient utiliser un navigateur pour la navigation générale et un autre pour gérer les appliances via l'interface Web, a-t-il ajouté. Ils devraient utiliser un navigateur tel que Firefox avec l'extension de sécurité NoScript installée, a-t-il dit.

Williams a indiqué qu'il avait signalé les vulnérabilités qu'il avait découvertes aux vendeurs concernés. Leurs réponses ont varié, mais en général, les grands fournisseurs ont fait le meilleur travail pour gérer les rapports, corriger les imperfections et partager les informations avec leurs clients, a-t-il dit.