Peneliti: Peralatan keamanan penuh dengan kerentanan serius

Mayoritas email dan gateway Web, firewall, server akses jarak jauh, sistem manajemen UTM (kesatuan manajemen ancaman) dan peralatan keamanan lainnya memiliki kerentanan serius, menurut seorang peneliti keamanan yang menganalisis produk dari beberapa vendor.

Sebagian besar peralatan keamanan tidak dirawat dengan baik Sistem Linux dengan aplikasi Web yang tidak aman terinstal pada mereka, menurut Ben Williams, penguji penetrasi di NCC Group, yang mempresentasikan temuan Kamis pada konferensi keamanan Black Hat Eropa 2013 di Amsterdam. Pembicaraannya berjudul, "Ekploitasi Iisik Produk Keamanan."

Williams menyelidiki produk dari beberapa vendor keamanan terkemuka, termasuk Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee dan Citrix. Beberapa dianalisis sebagai bagian dari tes penetrasi, beberapa sebagai bagian dari evaluasi produk untuk pelanggan, dan lainnya di waktu luangnya.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Lebih dari 80 persen dari produk yang diuji memiliki kerentanan serius yang relatif mudah ditemukan, setidaknya untuk seorang peneliti yang berpengalaman, kata Williams. Banyak dari kerentanan ini berada di antarmuka pengguna berbasis web dari produk, katanya.

Antarmuka dari hampir semua peralatan keamanan yang diuji tidak memiliki perlindungan terhadap retakan password brute-force dan memiliki cacat scripting lintas situs yang memungkinkan pembajakan sesi. Sebagian besar dari mereka juga memaparkan informasi tentang model dan versi produk kepada pengguna yang tidak berkepentingan, yang akan mempermudah penyerang untuk menemukan peralatan yang diketahui rentan.

Jenis kerentanan umum lainnya yang ditemukan di antarmuka tersebut adalah lintas situs minta pemalsuan. Cacat seperti itu memungkinkan penyerang untuk mengakses fungsi administrasi dengan menipu administrator yang diautentikasi ke situs web berbahaya yang dikunjungi. Banyak antarmuka juga memiliki kerentanan yang memungkinkan injeksi perintah dan eskalasi hak istimewa.

Cacat yang ditemukan oleh Williams kurang sering termasuk bypass otentikasi langsung, skrip lintas situs yang tidak ada bandingannya, pemalsuan permintaan di tempat, penolakan layanan dan kesalahan konfigurasi SSH. Ada banyak masalah lain yang lebih tidak jelas juga, katanya.

Selama presentasinya, Williams mempresentasikan beberapa contoh kekurangan yang ia temukan tahun lalu dalam peralatan dari Sophos, Symantec dan Trend Micro yang dapat digunakan untuk mendapatkan kontrol penuh. atas produk. Sebuah kertas putih dengan rincian lebih lanjut tentang temuan dan rekomendasinya untuk vendor dan pengguna dipublikasikan di situs web NCC Group.

Seringkali pada pameran dagang, vendor mengklaim bahwa produk mereka berjalan pada "hardened" Linux, menurut Williams. "Saya tidak setuju," katanya.

Kebanyakan peralatan yang diuji sebenarnya adalah sistem Linux yang tidak dirawat dengan baik dengan versi kernel yang ketinggalan jaman, paket lama dan tidak perlu yang diinstal, dan konfigurasi buruk lainnya, kata Williams. Sistem file mereka tidak "mengeras" juga, karena tidak ada pemeriksaan integritas, tidak ada fitur keamanan kernel SELinux atau AppArmour, dan sangat jarang menemukan sistem file yang tidak dapat ditulisi atau tidak dapat dieksekusi.

Masalah besar adalah bahwa perusahaan sering percaya bahwa karena peralatan ini adalah produk keamanan yang dibuat oleh vendor keamanan, mereka secara inheren aman, yang jelas merupakan kesalahan, kata Williams.

Misalnya, penyerang yang mendapatkan akses root pada alat keamanan email dapat melakukan lebih dari administrator yang sebenarnya bisa, katanya. Administrator bekerja melalui antarmuka dan hanya dapat membaca email yang ditandai sebagai spam, tetapi dengan shell root penyerang dapat menangkap semua lalu lintas email yang melewati alat, katanya. Setelah dikompromikan, peralatan keamanan juga dapat berfungsi sebagai dasar untuk pemindaian jaringan dan serangan terhadap sistem rentan lainnya di jaringan.

Cara peranti dapat diserang tergantung pada bagaimana mereka ditempatkan di dalam jaringan. Lebih dari 50 persen dari produk yang diuji, antarmuka web berjalan pada antarmuka jaringan eksternal, kata Williams.

Namun, bahkan jika antarmuka tidak dapat diakses langsung dari Internet, banyak kelemahan yang diidentifikasi memungkinkan terjadinya serangan reflektif, di mana penyerang menipu administrator atau pengguna di jaringan lokal untuk mengunjungi laman jahat atau mengeklik tautan yang dibuat khusus yang meluncurkan serangan terhadap alat melalui peramban mereka.

Dalam kasus beberapa gerbang email, penyerang dapat membuat dan mengirim email dengan kode eksploit untuk kerentanan skrip lintas situs di baris subjek. Jika email diblokir sebagai spam dan administrator akan memeriksanya di antarmuka alat, kode akan dijalankan secara otomatis.

Fakta bahwa kerentanan seperti itu ada dalam produk keamanan sangat ironis, kata Williams. Namun, situasi dengan produk non-keamanan mungkin lebih buruk, katanya.

Tidak mungkin kerentanan semacam itu akan dieksploitasi dalam serangan massal, tetapi mereka dapat digunakan dalam serangan bertarget terhadap perusahaan tertentu yang menggunakan produk rentan, misalnya oleh penyerang yang disponsori negara dengan tujuan spionase industri, kata peneliti.

Ada beberapa suara yang mengatakan vendor jaringan Cina Huawei mungkin memasang backdoors tersembunyi dalam produknya atas permintaan pemerintah Cina, kata Williams. Namun, dengan kerentanan seperti ini yang sudah ada di sebagian besar produk, pemerintah mungkin bahkan tidak perlu menambahkan lebih banyak lagi, katanya.

Untuk melindungi diri mereka sendiri, perusahaan tidak boleh mengekspos antarmuka Web atau layanan SSH yang berjalan pada ini. produk ke Internet, kata peneliti. Akses ke antarmuka juga harus dibatasi ke jaringan internal karena sifat reflektif dari beberapa serangan.

Administrator harus menggunakan satu browser untuk penelusuran umum dan yang berbeda untuk mengelola peralatan melalui antarmuka Web, katanya. Mereka harus menggunakan browser seperti Firefox dengan ekstensi keamanan NoScript yang diinstal, katanya.

Williams mengatakan dia melaporkan kerentanan yang dia temukan kepada vendor yang terpengaruh. Tanggapan mereka bervariasi, tetapi secara umum vendor besar melakukan pekerjaan terbaik dalam menangani laporan, memperbaiki kekurangan dan berbagi informasi dengan pelanggan mereka, katanya.