-
-
思科安全设备存在漏洞:设备中存在SSH密钥
-
发表于: 2015-6-27 17:34 1653
-
新闻链接:http://netsecurity.51cto.com/art/201506/479990.htm
新闻时间:2015-06-26 11:56:18
新闻正文:在很多思科安全设备中,存在有默认配置的、经过授权的SSH密钥,它们可以允许攻击者与这些安全设备进行连接,并对设备进行任意的操作。思科公司称:其公司旗下的Web安全虚拟设备,电子邮件安全虚拟设备以及内容安全管理虚拟设备都受到了这个漏洞的影响。
这个漏洞对企业部门来说是非常严重的。发现了默认SSH密钥的攻击者几乎能够自由地控制这些安全设备,这也就是说,考虑到思科公司在全球市场中的市场份额以及行业地位,受影响的设备数量将会非常巨大。在安全设备和软件中插入默认密钥的做法很明显是有某种原因的。
思科公司的顾问说到:“在思科旗下的产品中,例如思科WSAv, 思科ESAv,以及思科SMAv套件等等,远程支持功能的漏洞可以允许一名未经授权的远程黑客以root用户的身份和权限与受此漏洞影响的系统进行连接和通信。”
他还补充说到:“这种漏洞的产生,是由于在思科WSAv, 思科ESAv,以及思科SMAv套件的安装过程中,它们会交叉共享使用一个默认的、经过授权的SSH密钥。攻击者便可以获取这个SSH私人密钥,并使用它来与任何一个思科安全设备进行连接,通过这种方式利用了这个漏洞。如果漏洞被攻击者利用,那么他便能够获得root用户的权限,并使用这种权限来访问系统。”
安全研究人员认为:“不幸的是,这种漏洞并不只是出现在思科公司的安全产品中,这也就意味着,这个问题已经成为安全产品行业的一个严重问题了。”
Rapid7的安全工程经理Tod Beardsley说到:“目前,越来越多的安全设备生产商逐渐开始意识到,基于Telnet的远程管理并不是一个好主意,所以基于SSH的管理控制台也就变得越来越普遍了。不幸的是,这些生产商有的时候会错误地将一个默认的SSH密钥装载至一整条产品生产线的产品之中,这显然是一个非常严重的错误。但是,由于它的性能要强于Telnet,攻击者如果想要入侵这些设备,那么他所要做的就是得到其中一台安全设备(或者得到硬件的网络镜像),然后提取出其中的SSH密钥,就大功告成了。”
“鉴于我们目前所遇到的这种安全设备,我们建议安全设备生产商在其设备中加入一种”first boot”程序,这种程序可以为安全设备动态生成一个独一无二的SSH密钥。这种情况下,每位用户的设备所使用的密钥就可以被区分开来了,SSH密钥也不会被所有的用户所共享,而且也不怕密钥被他人获得了。但是请注意,通常情况下这些设备并没有面向互联网的管理员端口,所以攻击者通常需要加入本地网络(要么实体处于本地网络中,要么通过VPN来访问思科设备)。”
“Metasploit框架中有很多模块可以对这种设备漏洞进行攻击,一旦你得到了那个密钥,那么Metasploit的攻击模块对设备的攻击将会非常的容易。”
Beardsley说:“Rapid7正在构建一个密钥库,用于收集已知的弱SSH密钥。”他还认为思科产品的密钥很快便会出现在这个密钥库中。
利用这个漏洞,攻击者可以在不被察觉的情况下访问目标系统。思科公司认为,利用这个漏洞是非常容易的,尤其是当攻击者处于目标网络的中间人位置时。
思科公司的顾问称:“思科的SMAv是用来管理所有的内容安全设备的,而在SMAv设备上利用这个漏洞是有可能的。如果攻击者成功地利用了SMAv的漏洞,那么他就可以解密发送至SMAv的通信数据,并冒充SMAv,然后将修改后的数据发送至一台经过配置的内容安全设备。在由SMAv设备所管理的任意内容安全设备上,攻击者能够在设备之间的一条通信链路上利用这个漏洞。”
思科公司说到,目前还没有解决这个漏洞的办法,但公司已经为所有受此漏洞影响的设备及软件发布了更新补丁。公司还说,该漏洞是在公司内部安全测试的过程中发现的。带有漏洞的设备集成了大量的安全功能,包括内容安全管理,电子邮件以及Web安全管理等等。
小编点评:今年多国政府要求科技公司应当在它们的技术中留下后门,帮助政府追踪恐怖分子和犯罪嫌疑人,不应阻止政府部门获得数据。希望是我想多了...
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://threatpost.com/default-ssh-key-found-in-many-cisco-security-appliances/113480
新闻时间:2015-06-26 11:56:18
新闻正文:在很多思科安全设备中,存在有默认配置的、经过授权的SSH密钥,它们可以允许攻击者与这些安全设备进行连接,并对设备进行任意的操作。思科公司称:其公司旗下的Web安全虚拟设备,电子邮件安全虚拟设备以及内容安全管理虚拟设备都受到了这个漏洞的影响。
这个漏洞对企业部门来说是非常严重的。发现了默认SSH密钥的攻击者几乎能够自由地控制这些安全设备,这也就是说,考虑到思科公司在全球市场中的市场份额以及行业地位,受影响的设备数量将会非常巨大。在安全设备和软件中插入默认密钥的做法很明显是有某种原因的。
思科公司的顾问说到:“在思科旗下的产品中,例如思科WSAv, 思科ESAv,以及思科SMAv套件等等,远程支持功能的漏洞可以允许一名未经授权的远程黑客以root用户的身份和权限与受此漏洞影响的系统进行连接和通信。”
他还补充说到:“这种漏洞的产生,是由于在思科WSAv, 思科ESAv,以及思科SMAv套件的安装过程中,它们会交叉共享使用一个默认的、经过授权的SSH密钥。攻击者便可以获取这个SSH私人密钥,并使用它来与任何一个思科安全设备进行连接,通过这种方式利用了这个漏洞。如果漏洞被攻击者利用,那么他便能够获得root用户的权限,并使用这种权限来访问系统。”
安全研究人员认为:“不幸的是,这种漏洞并不只是出现在思科公司的安全产品中,这也就意味着,这个问题已经成为安全产品行业的一个严重问题了。”
Rapid7的安全工程经理Tod Beardsley说到:“目前,越来越多的安全设备生产商逐渐开始意识到,基于Telnet的远程管理并不是一个好主意,所以基于SSH的管理控制台也就变得越来越普遍了。不幸的是,这些生产商有的时候会错误地将一个默认的SSH密钥装载至一整条产品生产线的产品之中,这显然是一个非常严重的错误。但是,由于它的性能要强于Telnet,攻击者如果想要入侵这些设备,那么他所要做的就是得到其中一台安全设备(或者得到硬件的网络镜像),然后提取出其中的SSH密钥,就大功告成了。”
“鉴于我们目前所遇到的这种安全设备,我们建议安全设备生产商在其设备中加入一种”first boot”程序,这种程序可以为安全设备动态生成一个独一无二的SSH密钥。这种情况下,每位用户的设备所使用的密钥就可以被区分开来了,SSH密钥也不会被所有的用户所共享,而且也不怕密钥被他人获得了。但是请注意,通常情况下这些设备并没有面向互联网的管理员端口,所以攻击者通常需要加入本地网络(要么实体处于本地网络中,要么通过VPN来访问思科设备)。”
“Metasploit框架中有很多模块可以对这种设备漏洞进行攻击,一旦你得到了那个密钥,那么Metasploit的攻击模块对设备的攻击将会非常的容易。”
Beardsley说:“Rapid7正在构建一个密钥库,用于收集已知的弱SSH密钥。”他还认为思科产品的密钥很快便会出现在这个密钥库中。
利用这个漏洞,攻击者可以在不被察觉的情况下访问目标系统。思科公司认为,利用这个漏洞是非常容易的,尤其是当攻击者处于目标网络的中间人位置时。
思科公司的顾问称:“思科的SMAv是用来管理所有的内容安全设备的,而在SMAv设备上利用这个漏洞是有可能的。如果攻击者成功地利用了SMAv的漏洞,那么他就可以解密发送至SMAv的通信数据,并冒充SMAv,然后将修改后的数据发送至一台经过配置的内容安全设备。在由SMAv设备所管理的任意内容安全设备上,攻击者能够在设备之间的一条通信链路上利用这个漏洞。”
思科公司说到,目前还没有解决这个漏洞的办法,但公司已经为所有受此漏洞影响的设备及软件发布了更新补丁。公司还说,该漏洞是在公司内部安全测试的过程中发现的。带有漏洞的设备集成了大量的安全功能,包括内容安全管理,电子邮件以及Web安全管理等等。
小编点评:今年多国政府要求科技公司应当在它们的技术中留下后门,帮助政府追踪恐怖分子和犯罪嫌疑人,不应阻止政府部门获得数据。希望是我想多了...
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://threatpost.com/default-ssh-key-found-in-many-cisco-security-appliances/113480
赞赏
看原图
赞赏
雪币:
留言: