-
-
[转帖]安全专家提醒:多数安全设备存在漏洞
-
发表于: 2013-3-19 10:17 2224
-
http://www.enet.com.cn/article/2013/0318/A20130318265231.shtml
【文章摘要】安全设备的存在是为了抵挡信息安全威胁,这也使得企业常常误以为安全设备非常安全,然而,来自NCC Group的渗透测试专家Ben Williams指出,多数的安全设备存在安全漏洞,包括电子邮件和网页网关、防火墙、远程访问服务器、整合式威胁管理(United Threat Management,UTM)等。
安全设备为抵挡信息安全威胁而存在,这也使得企业常常误以为安全设备非常安全,然而,来自NCC Group的渗透测试专家Ben Williams指出,多数的安全设备存在安全漏洞,包括电子邮件和网页网关、防火墙、远程访问服务器、统一威胁管理(United Threat Management,UTM)等。
在最近举办的黑帽(Black Hat)欧洲2013安全会议上,Ben Williams表示他针对市面上许多安全设备进行调查,其中不乏赛门铁克(Symantec)、Sophos、趋势科技(Trend Micro)、思科(Cisco)、Barracuda、McAfee和Citrix等知名厂商的产品,却发现超过80%的产品存在严重的安全漏洞,而且这些漏洞很容易就可以被找到。
Williams表示,安全设备不安全的原因在于:使用缺乏维护的Linux系统以及Web管理接口漏洞较多。由于安全设备使用的Linux系统多为老旧的内核版本(kernel version),或者安装了老旧和不必要的组件,以及缺乏妥善的配置,而且文件系统没有完整的确认功能、缺乏SELinux(安全增强式Linux)或AppArmour内核安全功能,并且缺少禁止写入和执行的机制。
其总,Web管理接口的漏洞包括:
1. 无法防御暴力密码破解(brute-force password cracking)和跨站脚本攻击(XSS, Cross-Site Scripting);
2. 未经身份验证的用户可以查询到产品型号和版本(这也使得攻击者更容易寻找到这些设备);
3. 跨站请求伪造(CSRF/XSRF, Cross-site Request Forgery),即攻击者诱骗管理员访问恶意网站,进而取得管理权限,以及命令注入攻击(Command injection)和提升权限攻击(privilege escalation)等。
至于攻击方式,则视该设备在网络中的部署情况而定。Williams表示,安全设备上的漏洞不太可能被应用于大规模的攻击,但很可能被用来做有针对性的攻击,因此目前已经将研究结果通报给相关厂商,而多数厂商也着手开始修补这些漏洞。
另一方面,Williams也建议,为了避免这些漏洞被攻击者运用,企业最好不要在外部网络环境执行Web管理接口和SSH服务,并将访问权限限制在内部网络中,而管理设备的Web界面也应该使用独立的浏览器,与其他应用进行隔离,以尽可能降低安全风险。
【文章摘要】安全设备的存在是为了抵挡信息安全威胁,这也使得企业常常误以为安全设备非常安全,然而,来自NCC Group的渗透测试专家Ben Williams指出,多数的安全设备存在安全漏洞,包括电子邮件和网页网关、防火墙、远程访问服务器、整合式威胁管理(United Threat Management,UTM)等。
安全设备为抵挡信息安全威胁而存在,这也使得企业常常误以为安全设备非常安全,然而,来自NCC Group的渗透测试专家Ben Williams指出,多数的安全设备存在安全漏洞,包括电子邮件和网页网关、防火墙、远程访问服务器、统一威胁管理(United Threat Management,UTM)等。
在最近举办的黑帽(Black Hat)欧洲2013安全会议上,Ben Williams表示他针对市面上许多安全设备进行调查,其中不乏赛门铁克(Symantec)、Sophos、趋势科技(Trend Micro)、思科(Cisco)、Barracuda、McAfee和Citrix等知名厂商的产品,却发现超过80%的产品存在严重的安全漏洞,而且这些漏洞很容易就可以被找到。
Williams表示,安全设备不安全的原因在于:使用缺乏维护的Linux系统以及Web管理接口漏洞较多。由于安全设备使用的Linux系统多为老旧的内核版本(kernel version),或者安装了老旧和不必要的组件,以及缺乏妥善的配置,而且文件系统没有完整的确认功能、缺乏SELinux(安全增强式Linux)或AppArmour内核安全功能,并且缺少禁止写入和执行的机制。
其总,Web管理接口的漏洞包括:
1. 无法防御暴力密码破解(brute-force password cracking)和跨站脚本攻击(XSS, Cross-Site Scripting);
2. 未经身份验证的用户可以查询到产品型号和版本(这也使得攻击者更容易寻找到这些设备);
3. 跨站请求伪造(CSRF/XSRF, Cross-site Request Forgery),即攻击者诱骗管理员访问恶意网站,进而取得管理权限,以及命令注入攻击(Command injection)和提升权限攻击(privilege escalation)等。
至于攻击方式,则视该设备在网络中的部署情况而定。Williams表示,安全设备上的漏洞不太可能被应用于大规模的攻击,但很可能被用来做有针对性的攻击,因此目前已经将研究结果通报给相关厂商,而多数厂商也着手开始修补这些漏洞。
另一方面,Williams也建议,为了避免这些漏洞被攻击者运用,企业最好不要在外部网络环境执行Web管理接口和SSH服务,并将访问权限限制在内部网络中,而管理设备的Web界面也应该使用独立的浏览器,与其他应用进行隔离,以尽可能降低安全风险。
赞赏
他的文章
看原图
赞赏
雪币:
留言: