Nmap - Procurando Falhas em Sites
A maioria dos gateways de e-mail e Web, firewalls, servidores de acesso remoto, sistemas UTM (gerenciamento unificado de ameaças) e outros dispositivos de segurança A maioria dos dispositivos de segurança são sistemas Linux mal-mantidos, com aplicativos inseguros instalados neles, de acordo com Ben Williams, um testador de penetração do NCC Group, que apresentou suas vulnerabilidades, de acordo com um pesquisador de segurança que analisou produtos de vários fornecedores. descobertas quinta-feira na conferência de segurança Black Hat Europe 2013 em Amsterdã. Sua palestra foi intitulada “Exploração Irônica de Produtos de Segurança”.
Williams investigou produtos de alguns dos principais fornecedores de segurança, incluindo a Symantec, a Sophos, a Trend Micro, a Cisco, a Barracuda, a McAfee e a Citrix. Alguns foram analisados como parte de testes de penetração, alguns como parte de avaliações de produtos para clientes e outros em seu tempo livre.
[Mais leitura: Como remover malware do seu PC com Windows]
Mais de 80% dos testes Os produtos testados tinham vulnerabilidades sérias que eram relativamente fáceis de encontrar, pelo menos para um pesquisador experiente, disse Williams. Muitas dessas vulnerabilidades estavam nas interfaces de usuário baseadas na Web dos produtos, disse ele.As interfaces de quase todos os dispositivos de segurança testados não tinham proteção contra quebra de senha de força bruta e tinham falhas de script entre sites que permitiam sequestro de sessão. A maioria deles também expôs informações sobre o modelo e a versão do produto para usuários não autenticados, o que facilitaria a descoberta pelos atacantes de dispositivos que são vulneráveis.
Outro tipo comum de vulnerabilidade encontrado em tais interfaces era o cross-site. solicitar falsificação. Essas falhas permitem que invasores acessem funções de administração enganando os administradores autenticados para que visitem sites maliciosos. Muitas interfaces também tinham vulnerabilidades que permitiam injeção de comando e escalonamento de privilégios.
As falhas que Williams encontrou com menos frequência incluíram ignorações de autenticação direta, scripts cross-site fora de banda, falsificação de solicitações no local, negação de serviço e configuração incorreta do SSH. Houve muitas outras questões mais obscuras também, disse ele.
Durante sua apresentação, Williams apresentou vários exemplos de falhas que ele encontrou no ano passado em aparelhos da Sophos, Symantec e Trend Micro que poderiam ser usados para ganhar controle total. sobre os produtos. Um white paper com mais detalhes sobre suas descobertas e recomendações para fornecedores e usuários foi publicado no site do NCC Group.
Frequentemente em feiras, os fornecedores alegam que seus produtos funcionam com Linux “endurecido”, de acordo com Williams. "Eu não concordo", disse ele.
A maioria dos aparelhos testados eram sistemas Linux mal-conservados, com versões desatualizadas do kernel, pacotes antigos e desnecessários instalados e outras configurações ruins, disse Williams. Seus sistemas de arquivos não eram “endurecidos”, pois não havia verificação de integridade, nem recursos de segurança do kernel do SELinux ou AppArmour, e era raro encontrar sistemas de arquivos não-graváveis ou não executáveis.
Um grande problema é que as empresas Muitas vezes, acreditam que, como esses dispositivos são produtos de segurança criados por fornecedores de segurança, eles são inerentemente seguros, o que é um erro, disse Williams. Por exemplo, um invasor que obtém acesso root em um dispositivo de segurança de e-mail pode fazer mais do que isso. administrador real pode, ele disse. O administrador trabalha através da interface e só pode ler e-mails marcados como spam, mas com um shell de root, um atacante pode capturar todo o tráfego de e-mail que passa pelo appliance, disse ele. Uma vez comprometidos, os dispositivos de segurança também podem servir como base para varreduras de rede e ataques contra outros sistemas vulneráveis na rede.
A maneira como os appliances podem ser atacados depende de como eles são implantados dentro da rede. Em mais de 50% dos produtos testados, a interface da Web era executada na interface de rede externa, disse Williams.
No entanto, mesmo que a interface não seja diretamente acessível pela Internet, muitas das falhas identificadas permitem ataques reflexivos. onde o invasor engana o administrador ou um usuário na rede local para visitar uma página mal-intencionada ou clicar em um link especificamente criado que lança um ataque contra o appliance por meio de seu navegador.
No caso de alguns gateways de email, o invasor pode criar e enviar um email com código de exploração para uma vulnerabilidade de script entre sites na linha de assunto. Se o email for bloqueado como spam e o administrador o inspecionar na interface do appliance, o código será executado automaticamente.
O fato de essas vulnerabilidades existirem em produtos de segurança é irônico, disse Williams. No entanto, a situação com produtos não relacionados à segurança é provavelmente pior, disse ele.
É improvável que tais vulnerabilidades sejam exploradas em ataques em massa, mas poderiam ser usadas em ataques específicos contra empresas específicas que usam produtos vulneráveis, por exemplo. O pesquisador disse que houve algumas vozes que disseram que a fornecedora chinesa de redes Huawei poderia estar instalando backdoors ocultos em seus produtos a pedido do governo chinês, disse Williams. No entanto, com vulnerabilidades como essas já existentes na maioria dos produtos, um governo provavelmente não precisaria nem adicionar mais, disse ele.
Para se proteger, as empresas não devem expor as interfaces da Web ou o serviço SSH em execução nesses sites. produtos para a Internet, disse o pesquisador. O acesso à interface também deve ser restrito à rede interna devido à natureza reflexiva de alguns dos ataques.
Os administradores devem usar um navegador para navegação geral e outro diferente para gerenciar os dispositivos através da interface da Web, disse ele. Eles devem usar um navegador como o Firefox com a extensão de segurança NoScript instalada, disse ele. Williams disse que relatou as vulnerabilidades que descobriu para os fornecedores afetados. Suas respostas variaram, mas em geral os grandes fornecedores fizeram o melhor trabalho de lidar com os relatórios, corrigindo as falhas e compartilhando as informações com seus clientes, disse ele.
À Medida que a padronização do sistema operacional aumenta, as ameaças à segurança dos smartphones tornam-se um problema mais sério, disse um analista da Gartner. Como os dispositivos sem fio se tornam mais numerosos nas empresas, sua conveniência será contrabalançada por um potencial crescente de problemas de segurança, segundo um analista da Gartner. As novas tendências na indústria sem fio estão facilitando ataques de hackers, disse John Girard. Um vice-presidente da Gartner, que falou na IT
Há alguns anos, não havia muita padronização em dispositivos sem fio. Diferentes sistemas operacionais, diferentes implementações de Java móvel e até mesmo configurações variadas entre dispositivos com o mesmo sistema operacional dificultaram a criação de códigos maliciosos que rodavam em uma grande variedade de dispositivos, disse Girard.
Pesquisadores de segurança estão vendo uma pressão renovada do Gumblar, o nome de um código malicioso que se espalha comprometendo Web legítimos Pesquisadores de segurança estão vendo um ressurgimento do Gumblar, o nome de um código malicioso que se espalha por meio do comprometimento de sites legítimos, mas inseguros. Em maio, milhares de sites foram encontrados hackeados servir um iframe, que é uma maneira de levar o conteúdo de um site para outro. O iframe levou ao domínio "gumblar.cn&qu
O Gumblar também mudou suas táticas. Em vez de hospedar a carga maliciosa em um servidor remoto, os hackers agora colocam esse código em sites comprometidos, dizem os fornecedores da IBM e da ScanSafe. Também parece que o Gumblar foi atualizado para usar uma das vulnerabilidades mais recentes nos programas Adobe Reader e Acrobat, de acordo com o blog IBM Security Systems Frequency X.
Pesquisador encontra vulnerabilidades críticas no produto antivírus da Sophos
O pesquisador de segurança Tavis Ormandy descobriu vulnerabilidades críticas no produto antivírus desenvolvido pela empresa de segurança Sophos e aconselhou as organizações a evitar o uso do produto em sistemas críticos, a menos que o fornecedor melhore seu desenvolvimento de produtos, garantia de qualidade e práticas de resposta de segurança.