'Veel beveiligingsapparaten zo lek als een mandje'
Zijn constatering is in strijd met uitlatingen van fabrikanten van dergelijke apparatuur, die vaak claimen dat hun apparatuur op een 'geharde' - dat wil zeggen nauwelijks kwetsbare - versie van Linux draait. In werkelijkheid zijn de appliances veelal voorzien van slecht onderhouden Linux-distributies met achterhaalde kernelversies, verouderde of overbodige applicaties en configuratiefouten, aldus de onderzoeker van NCC Group.
Appliances van bekende namen in beveiligingsland onderzocht
Williams deed onderzoek naar producten van bekende fabrikanten als Barracuda, Cisco, Citrix, McAfee, Symantec, Sophos en Trend Micro. Tijdens de presentatie in Amsterdam demonstreerde hij enkele voorbeelden van lekken die NCC vorig jaar in appliances van Sophos, Symantec en Trend Micro had aangetroffen. Ze kunnen worden uitgebuit om de volledige controle over deze systemen te krijgen.
Tot de onderzochte appliances behoren firewalls, systemen voor unified threat management (UTM), remote access servers en gateways voor e-mail en webverkeer. Williams testte de systemen deels in het kader van penetratietests, maar ook als onderdeel van productvergelijkingen voor klanten of uit persoonlijke interesse.
Nauwelijks bestand tegen brute kracht-aanvallen
Vrijwel geen enkele appliance was beschermd tegen het met 'brute kracht' kraken van wachtwoorden. Tekortkomingen op het gebied van 'cross-scripting' leidde ertoe dat kwaadwillenden gebruikerssessies kunnen kapen.
Een ander veel voorkomende kwetsbaarheid is de zogenoemde 'cross-site request forgery'. Aanvallers kunnen zich beheerdersrechten toeëigenen door een bonafide, geauthenticeerde beheerder naar een kwaadaardige website te lokken.
Williams trof daarnaast een groot aantal minder vaak voorkomende beveiligingsfouten aan, uiteenlopend van vatbaarheid voor cross-site scripting tot denial of service-aanvallen en foutieve SSH-configuraties.
Klanten denken ten onrechte dat appliances 'inherent veilig' zijn
Het grote probleem is volgens Williams dat veel klanten geloven dat dergelijke security appliances 'inherent veilig' zijn omdat ze afkomstig zijn van IT-beveiligingsbedrijven. Niets is minder waar, zo blijkt. Williams noemde het 'ironisch' dat uitgerekend in producten die bedoeld zijn om de IT-infrastructuur van organisaties te beveiligen, zulke ernstige lekken zitten. De meest verrassende conclusie uit het onderzoek is volgens Williams dat veel fabrikanten geen gebruik maken van Secure Development Lifecycles om dit soort fouten uit te sluiten.
NCC Group heeft een whitepaper [PDF] gepubliceerd waarin de bevindingen van Williams zijn samengevat. Het bedrijf doet daarin ook aanbevelingen aan fabrikanten en gebruikers.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee