Eksperci ostrzegają - bramki bezpieczeństwa mają chronić, a same zawierają luki

Większość bramek e-mail, zapór, systemów UTM (United Threat Management) oraz innych rozwiązań mających gwarantować systemom IT bezpieczeństwo zawiera poważne luki. To opinia informatyków pracujących w NCC Group, którzy przetestowali niedawno takie produkty i przedstawili wyniki badań w Amsterdamie (Holandia) na konferencji Black Hat Europe 2013.

Rozwiązania takie są instalowane najczęściej na słabo wspieranych systemach Linuksowych, na których pracują nie do końca bezpieczne aplikacje WWW. To główna teza ekspertów z NCC Group, którzy przetestowali szereg rozwiązań bezpieczeństwa oferowanych przez wiodące na tym rynku firmy, takie jak Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee i Citrix.

Testy wykazały, że ponad 80% rozwiązań zawiera szereg luk, które są łatwe do zlokalizowania nawet dla mało doświadczonego informatyka. Luki znajdują się najczęściej w interfejsach użytkownika bazujących na technologii WWW. Badanie wykazało, że prawie wszystkie nie chronią systemów IT przed atakami typu "brute-force password cracking" (siłowa metoda odgadywania haseł) i XXS (Cross-Site Scripting). Większość interfejsów udostępnia nieautoryzowanym użytkownikom ważne informacje, takie jak model czy wersja urządzenia, co znakomicie ułatwia zadanie potencjalnym włamywaczom.

Zobacz również:

W interfejsach użytkownika wykrywano też często lukę "cross-site request forgery". Dzięki niej włamywacz może zarejestrować się jako administrator, uzyskując w ten sposób dostęp do wszystkich zasobów atakowanego rozwiązania. W wielu interfejsach zlokalizowano też luki pozwalające przeprowadzać ataki wykorzystujące takie metody, jak "command injection" i "privilege escalation".

W nielicznych przypadkach testy wykryły również luki umożliwiające przeprowadzenie ataków typu “direct-authentication bypasses", “out-of-band cross-site scripting", “on-site request forgery", “denial of service" oraz źle skonfigurowane systemy SSH. Informatycy doszli też do wniosku, że stwierdzenia formułowane nagminnie przez dostawców bramek bezpieczeństwa, iż oferowany przez nie produkt jest oparty na odpowiednio "wzmocnionym" Linuksie, jest nieprawdziwe. Były to niestety w wielu przypadkach systemy Linux bazujące na przestarzałych jądrach (nie wspierających takich opcji bezpieczeństwa, jak SELinux czy AppArmour), na dodatek niepoprawnie skonfigurowane. To frustrujące, ponieważ użytkownik kupujący taki sprzęt jest przekonany, że z racji funkcji jakie on pełni, zainstalowany na nim Linux jest na pewno bezpieczny.

Testy kilku rozwiązań wykazały, że haker atakujący bramkę e-mail może - po uzyskaniu prawa dostępu na poziomie "root" - ma większe możliwości niż administrator. Administrator korzysta bowiem z interfejsu, który pozwala mu tylko czytać wiadomości oflagowane jako spam. Włamywacz posiadający uprawnienie "root" może natomiast przechwytywać cały ruch e-mail przechodzący przez bramkę.

Biorąc to wszystko pod uwagę eksperci radzą administratorom, aby nie udostępniali użytkownikom Internetu usług SSH oraz interfejsów WWW wchodzących w skład bramek bezpieczeństwa. Dostęp do interfejsów należy też ograniczyć i zapewniać go tylko wewnętrznym użytkownikom danej sieci firmowej. Dobrze jest też do ogólnego zarządzania bramkami używać tylko jednej, godnej zaufania przeglądarki, a innej do zarządzania nimi przez interfejs webowy. Może to być np. przeglądarka z zainstalowaną opcją bezpieczeństwa NoScript.


TOP 200