Forsker: Sikkerhetsapparater er utsatt for alvorlige sårbarheter.

De fleste e-post- og webgateways, brannmurer, fjerntilgangsservere, UTM-systemer (united threat management) og andre sikkerhetsutstyr har alvorlige sårbarheter, ifølge en sikkerhetsforsker som analyserte produkter fra flere leverandører.

De fleste sikkerhetsapparater er dårlig vedlikeholdt Linux-systemer med usikre webprogrammer installert på dem, ifølge Ben Williams, en penetrasjonstester hos NCC Group, som presenterte sin funn torsdag på Black Hat Europe 2013 Security Conference i Amsterdam. Hans tale snakket "Ironic Exploitation of Security Products."

Williams undersøkte produkter fra noen av de ledende sikkerhetsleverandørene, inkludert Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee og Citrix. Noen ble analysert som en del av penetrasjonstester, noen som en del av produktevalueringer for kunder og andre på fritiden.

[Ytterligere lesing: Slik fjerner du skadelig programvare fra Windows PC]

Mer enn 80 prosent av Testede produkter hadde alvorlige sårbarheter som var relativt enkle å finne, i hvert fall for en erfaren forsker, sa Williams. Mange av disse sikkerhetsproblemene var i nettbaserte brukergrensesnitt av produktene, sa han.

Grensesnittene til nesten alle testede sikkerhetsapparater hadde ingen beskyttelse mot brutal-kraftpassordbrudd og hadde feil på tvers av nettsider som tillot økt kapring. De fleste av dem utelukket også informasjon om produktmodellen og versjonen til uautoriserte brukere, noe som ville ha gjort det lettere for angripere å oppdage apparater som er kjent for å være sårbare.

En annen vanlig type sikkerhetsproblem som finnes i slike grensesnitt, var cross-site be om forfalskning. Slike feil gir angripere tilgang til administrasjonsfunksjoner ved å lure godkjente administratorer til å besøke ondsinnede nettsteder. Mange grensesnitt hadde også sårbarheter som tillot kommandoen injeksjon og privilegium eskalering.

Feil som Williams fant mindre ofte, inkluderte direkte autentiseringsbypasser, utgående båndoverskrifter på skjermen, påbud om forfalskning på stedet, tjenestenekt og SSH-feilkonfigurasjon. I løpet av sin presentasjon presenterte Williams flere eksempler på feil han fant i fjor i apparater fra Sophos, Symantec og Trend Micro som kunne brukes til å få full kontroll over produktene. Et vitbok med flere detaljer om hans funn og anbefalinger for leverandører og brukere ble publisert på NCC Groups nettsted.

Ofte på messer, hevder leverandørene at deres produkter kjører på "herdet" Linux, ifølge Williams. "Jeg er uenig," sa han.

De fleste testede apparater var faktisk dårlig vedlikeholdt Linux-systemer med utdaterte kjerneversjoner, gamle og unødvendige pakker installert, og andre dårlige konfigurasjoner, sa Williams. Deres filsystemer var heller ikke "herdet", da det ikke var noen integritetskontroll, ingen SELinux- eller AppArmour-kjernesikkerhetsfunksjoner, og det var sjelden å finne ikke-skrivbare eller ikke-kjørbare filsystemer.

Et stort problem er at selskaper tror ofte at fordi disse apparatene er sikkerhetsprodukter som er opprettet av sikkerhetsleverandører, er de iboende sikre, noe som definitivt er en feil, sa Williams.

For eksempel kan en angriper som får robertilgang på en e-post sikkerhetsenhet, gjøre mer enn faktisk administrator kan, sa han. Administratoren arbeider gjennom grensesnittet og kan bare lese e-postmeldinger som er merket som spam, men med et rotseppe kan en angriper fange all e-posttrafikk som går gjennom apparatet, sa han. Sikkerhetsutstyr kan også fungere som en base for nettverkssøk og angrep mot andre sårbare systemer på nettverket.

Måten som apparater kan angripes av, avhenger av hvordan de distribueres i nettverket. I mer enn 50 prosent av de testede produktene kjørte webgrensesnittet på det eksterne nettverksgrensesnittet, sa Williams.

Selv om grensesnittet ikke er direkte tilgjengelig fra Internett, tillater mange av de identifiserte feilene reflekterende angrep, hvor angriperen triks administratoren eller en bruker på det lokale nettverket for å besøke en ondsinnet side eller å klikke på en spesifikt utformet lenke som starter et angrep mot apparatet gjennom nettleseren.

I tilfelle av noen e-post gateways, angriperen kan lage og sende en e-post med exploit kode for et sårbarhetsproblem på tvers av nettsiden i emnelinjen. Hvis e-postadressen er blokkert som spam, og administratoren inspiserer det i grensesnittet, vil koden kjøres automatisk.

Det er ironisk at slike sikkerhetsproblemer eksisterer i sikkerhetsprodukter, sier Williams. Situasjonen med ikke-sikkerhetsprodukter er imidlertid sannsynligvis verre, sa han.

Det er usannsynlig at slike sårbarheter vil bli utnyttet i masseangrep, men de kan brukes i målrettede angrep mot bestemte selskaper som bruker de sårbare produktene, for eksempel Det har vært noen stemmer som sa at den kinesiske nettverksleverandøren Huawei kan installere skjulte bakdører i sine produkter på forespørsel fra den kinesiske regjeringen, sa Williams. Men med sårbarheter som disse som allerede finnes i de fleste produkter, ville en regjering trolig ikke engang måtte legge til flere, sa han.

For å beskytte seg bør selskapene ikke utsette webgrensesnittene eller SSH-tjenesten som kjører på disse produkter til Internett, sa forskeren. Tilgang til grensesnittet bør også være begrenset til det interne nettverket på grunn av den reflekterende naturen til noen av angrepene.

Administratorer bør bruke en nettleser for generell surfing og en annen for styring av apparatene via webgrensesnittet, sa han. De burde bruke en nettleser som Firefox med NoScript-sikkerhetsutvidelsen installert, sa han.

Williams sa han rapporterte de sårbarhetene han oppdaget for de berørte leverandørene. Deres svar varierte, men de store leverandørene gjorde generelt den beste jobben med å håndtere rapportene, fikse feilene og dele informasjonen med sine kunder, sa han.