الباحث: الأجهزة الأمنية مليئة بالثغرات الخطيرة

معظم بوابات البريد الإلكتروني والويب ، وجدران الحماية ، وخوادم الوصول عن بعد ، وأنظمة UTM (إدارة التهديد الموحد) والأجهزة الأمنية الأخرى لديهم نقاط ضعف خطيرة ، وفقا لباحث أمني قام بتحليل المنتجات من بائعين متعددين.

معظم أجهزة الأمن ضعيفة الصيانة لأنظمة لينكس مع تطبيقات ويب غير آمنة مثبتة عليها ، وفقا لما ذكره بن ويليامز ، مخترع الاختراق في مجموعة NCC ، الذي قدم النتائج الخميس في مؤتمر الأمن في Black Hat Europe 2013 في أمستردام. كان حديثه بعنوان: "الاستغلال المثير للمنتجات الأمنية". حقق ويليامز في منتجات بعض الشركات الرائدة في مجال الأمن ، بما في ذلك سيمانتيك ، وسوفوس ، وتريند مايكرو ، وسيسكو ، وباراكودا ، ومكافي وسيتريكس. تم تحليل بعضها كجزء من اختبارات الاختراق ، بعضها كجزء من تقييم المنتجات للعملاء ، والبعض الآخر في وقت فراغه.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

أكثر من 80 بالمائة من وقال وليامز إن المنتجات التي تم اختبارها بها نقاط ضعف خطيرة كان من السهل نسبيا العثور عليها ، على الأقل بالنسبة لباحث ذو خبرة. وقال إن العديد من نقاط الضعف هذه كانت في واجهات المستخدم المستندة إلى الويب.

كانت الواجهات لجميع أجهزة الأمن التي تم اختبارها تقريبًا خالية من الحماية ضد تشققات كلمة المرور الخاصة بالألغاز العنيفة وكانت بها عيوب البرمجة النصية عبر المواقع التي سمحت بجلسة اختطاف الجلسة. كما عرض معظمهم معلومات حول طراز المنتج وإصداره للمستخدمين غير المصادقين ، الأمر الذي كان من شأنه أن يسهل على المهاجمين اكتشاف الأجهزة المعروفة بأنها ضعيفة.

نوع آخر من الثغرات الموجودة في مثل هذه الواجهات هو عبر الموقع طلب التزوير. تسمح هذه العيوب للمهاجمين بالوصول إلى وظائف الإدارة عن طريق خداع المسؤولين الموثوق بهم في مواقع الويب الخبيثة الزائرة. واجهت العديد من الواجهات أيضا نقاط ضعف سمحت بحقن القيادة وتصعيد الامتياز.

العيوب التي وجدها ويليامز بشكل أقل تكرارا شملت عمليات التوثيق المباشر ، البرمجة النصية عبر المواقع خارج النطاق ، التزوير في الموقع ، رفض الخدمة ، التهيئة الخاطئة لـ SSH. كان هناك الكثير من القضايا الأخرى الأكثر غموضًا أيضًا.

قدم خلال العرض الذي قدمه ويليامز عدة أمثلة على العيوب التي وجدها في العام الماضي في الأجهزة من Sophos و Symantec و Trend Micro التي يمكن استخدامها للتحكم الكامل. على المنتجات. تم نشر ورقة بيضاء مع مزيد من التفاصيل حول النتائج التي توصل إليها وتوصياته للبائعين والمستخدمين على موقع NCC Group.

غالباً في المعارض التجارية ، يدعي الباعة أن منتجاتهم تعمل على لينكس "المتصلب" ، وفقًا لوليامز. قال: "أنا لا أتفق". [

] كانت معظم الأجهزة التي تم اختبارها في الواقع ضعيفة الصيانة لأنظمة لينكس مع إصدارات قديمة ، وحزم قديمة وغير ضرورية مثبتة ، وتكوينات أخرى سيئة. لم تكن أنظمة الملفات الخاصة بهم "متينة" ، حيث لم يكن هناك فحص للنزاهة ، ولا توجد ميزات أمان SELinux أو AppArmour kernel ، وكان من النادر العثور على أنظمة ملفات غير قابلة للكتابة أو غير قابلة للتنفيذ.

مشكلة كبيرة هي أن الشركات غالباً ما يعتقد هؤلاء أنه نظرًا لأن هذه الأجهزة هي منتجات أمنية تم إنشاؤها بواسطة البائعين الأمنيين ، فهي آمنة بطبيعتها ، وهذا خطأ بالتأكيد ، كما يقول Williams.

على سبيل المثال ، يمكن للمهاجم الذي يربح الوصول إلى الجذر على جهاز أمان البريد الإلكتروني أن يفعل أكثر من يمكن المسؤول الفعلي ، قال. يعمل المدير من خلال الواجهة ويمكنه فقط قراءة رسائل البريد الإلكتروني التي تم وضع علامة عليها كرسائل غير مرغوب فيها ، ولكن مع قذيفة جذر يمكن للمهاجم التقاط جميع حركة البريد الإلكتروني التي تمر عبر الجهاز ، على حد قوله. وبمجرد اختراق الأجهزة الأمنية ، يمكن استخدامها أيضًا كقاعدة لعمليات المسح على الشبكة والهجمات ضد الأنظمة الأخرى الضعيفة على الشبكة

تعتمد الطريقة التي يمكن بها الهجوم على الأجهزة على كيفية نشرها داخل الشبكة. في أكثر من 50 في المائة من المنتجات التي تم اختبارها ، تم تشغيل واجهة الويب على واجهة الشبكة الخارجية ، على حد قول وليامز.

ومع ذلك ، حتى إذا لم يتم الوصول إلى الواجهة مباشرة من الإنترنت ، فإن العديد من العيوب المحددة تسمح بهجمات عاكسة ، حيث الحيل المهاجم مسؤول أو مستخدم على الشبكة المحلية لزيارة صفحة الخبيثة أو انقر على وصلة وضعت على وجه التحديد أن تطلق هجوما على الجهاز من خلال المتصفح.

في حالة بعض بوابات البريد الإلكتروني، المهاجم يمكن صياغة وإرسال البريد الإلكتروني مع رمز استغلال لثغرة في البرمجة النصية عبر المواقع في سطر الموضوع. إذا تم حظر البريد الإلكتروني كرسائل غير مرغوب فيها ويفحصه المسؤول في واجهة الجهاز ، فسيتم تنفيذ الشفرة تلقائيًا.

حقيقة أن وجود هذه الثغرات الأمنية في المنتجات الأمنية أمر مثير للسخرية ، كما تقول ويليامز. وقال. ومع ذلك، فإن الوضع مع المنتجات غير الأمنية وربما أسوأ

من غير المرجح أن مثل هذه الثغرات سيتم استغلالها في هجمات جماعية، ولكن يمكن استخدامها في هجمات استهدفت شركات محددة التي تستخدم منتجات الضعيفة، على سبيل المثال وقال الباحث إن بعض المهاجمين الذين ترعاهم الدولة بأهداف تجسسية صناعية.

كانت هناك بعض الأصوات التي تقول إن شركة هواوي الصينية للتوصيل بالشبكة ربما تقوم بتركيب خلفيات خفية في منتجاتها بناء على طلب الحكومة الصينية. ومع ذلك ، فمع وجود مثل هذه الثغرات الموجودة بالفعل في معظم المنتجات ، ربما لا تحتاج الحكومة إلى إضافة المزيد ، على حد قول

لحماية أنفسهم ، يجب على الشركات ألا تعرض واجهات الويب أو خدمة SSH التي تعمل على هذه الأجهزة. المنتجات إلى الإنترنت ، وقال الباحث. كما يجب أن يقتصر الوصول إلى الواجهة على الشبكة الداخلية بسبب الطبيعة الانعكاسية لبعض الهجمات.

يجب على المسؤولين استخدام متصفح واحد للتصفح العام وآخر مختلف لإدارة الأجهزة عبر واجهة الويب ، على حد قوله. وقال إنه يجب عليهم استخدام متصفح مثل Firefox مع تثبيت ملحق NoScript للأمان.

قال Williams أنه أبلغ عن نقاط الضعف التي اكتشفها للبائعين المتضررين. وتفاوتت استجاباتهم ، ولكن بشكل عام ، قام كبار البائعين بأفضل وظيفة في التعامل مع التقارير ، وتحديد العيوب ومشاركة المعلومات مع عملائهم ، على حد قول