शोधकर्ता: सुरक्षा उपकरणों को गंभीर भेद्यता के साथ झुकाया जाता है

अधिकांश ईमेल और वेब गेटवे, फ़ायरवॉल, रिमोट एक्सेस सर्वर, यूटीएम (संयुक्त खतरे प्रबंधन) सिस्टम और अन्य सुरक्षा उपकरण एक सुरक्षा शोधकर्ता के मुताबिक गंभीर भेद्यताएं हैं, जिन्होंने कई विक्रेताओं के उत्पादों का विश्लेषण किया था।

एनसीसी ग्रुप में एक प्रवेश परीक्षक बेन विलियम्स के मुताबिक, अधिकांश सुरक्षा उपकरणों को असुरक्षित वेब अनुप्रयोगों के साथ लिनक्स सिस्टम बनाए रखा जाता है, जिन्होंने उन्हें प्रस्तुत किया एम्स्टर्डम में ब्लैक हैट यूरोप 2013 सुरक्षा सम्मेलन में गुरुवार को निष्कर्ष। उनकी बात का शीर्षक था, "सुरक्षा उत्पादों का पुरानी एक्सप्लॉयशन।"

विलियम्स ने सिमेंटेक, सोफोस, ट्रेंड माइक्रो, सिस्को, बराक्यूडा, मैकफी और सिट्रिक्स समेत कुछ प्रमुख सुरक्षा विक्रेताओं के उत्पादों की जांच की। कुछ लोगों को प्रवेश परीक्षणों के हिस्से के रूप में विश्लेषण किया गया था, कुछ ग्राहकों के लिए उत्पाद मूल्यांकन के हिस्से के रूप में, और अन्य अपने खाली समय में।

[आगे पढ़ने: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

80 प्रतिशत से अधिक विलियम्स ने कहा कि परीक्षण किए गए उत्पादों में गंभीर भेद्यताएं थीं जो कम से कम एक अनुभवी शोधकर्ता के लिए खोजना आसान था। उन्होंने कहा कि इनमें से कई भेद्यता उत्पादों के वेब-आधारित उपयोगकर्ता इंटरफेस में थीं।

लगभग सभी परीक्षण किए गए सुरक्षा उपकरणों के इंटरफेस में ब्रूट-फोर्स पासवर्ड क्रैकिंग के खिलाफ कोई सुरक्षा नहीं थी और क्रॉस-साइट स्क्रिप्टिंग त्रुटियां थीं जो सत्र अपहरण की अनुमति देती थीं । उनमें से अधिकांश ने उत्पाद मॉडल और संस्करण के बारे में जानकारी अनधिकृत उपयोगकर्ताओं को भी उजागर की, जो हमलावरों के लिए कमजोर होने वाले उपकरणों को खोजने में आसान बनाते।

ऐसे इंटरफेस में पाए जाने वाले भेद्यता का एक और आम प्रकार क्रॉस-साइट था जालसाजी का अनुरोध करें। ऐसी त्रुटियां हमलावरों को दुर्भावनापूर्ण वेबसाइटों पर जाकर प्रमाणीकृत प्रशासकों को धोखा देकर प्रशासनिक कार्यों तक पहुंचने की अनुमति देती हैं। कई इंटरफेस में भेद्यताएं भी थीं जो कमांड इंजेक्शन और विशेषाधिकार वृद्धि की अनुमति देती थीं।

विलियम्स को कम बार-बार पाया गया था, जिसमें प्रत्यक्ष-प्रमाणीकरण बाईपास, आउट-ऑफ-बैंड क्रॉस-साइट स्क्रिप्टिंग, ऑन-साइट अनुरोध जालसाजी, सेवा से इनकार और एसएसएच गलत कॉन्फ़िगरेशन शामिल था । उन्होंने कहा कि कई अन्य, अधिक अस्पष्ट मुद्दे भी थे।

अपनी प्रस्तुति के दौरान, विलियम्स ने पिछले साल सोफोस, सिमेंटेक और ट्रेंड माइक्रो के उपकरणों में पाया गया त्रुटियों के कई उदाहरण प्रस्तुत किए जिन्हें पूर्ण नियंत्रण प्राप्त करने के लिए उपयोग किया जा सकता था उत्पादों पर। विक्रेताओं और उपयोगकर्ताओं के लिए उनके निष्कर्षों और सिफारिशों के बारे में अधिक जानकारी के साथ एक श्वेत पत्र एनसीसी समूह की वेबसाइट पर प्रकाशित हुआ था।

अक्सर व्यापार शो में, विक्रेता दावा करते हैं कि उनके उत्पाद "कठोर" लिनक्स पर चलते हैं, विलियम्स के अनुसार। विलियम्स ने कहा, "मैं असहमत हूं," उन्होंने कहा।

अधिकांश परीक्षण किए गए उपकरण वास्तव में पुराने कर्नेल संस्करणों, पुरानी और अनावश्यक पैकेजों के साथ लिनक्स सिस्टम को खराब बनाए रखते थे, और अन्य खराब विन्यास, विलियम्स ने कहा। उनकी फाइल सिस्टम या तो "कठोर" नहीं थीं, क्योंकि कोई अखंडता जांच नहीं थी, कोई SELinux या AppArmour कर्नेल सुरक्षा सुविधाएं नहीं थीं, और गैर-लिखने योग्य या निष्पादन योग्य फ़ाइल सिस्टम ढूंढना दुर्लभ था।

बड़ी समस्या यह है कि कंपनियां अक्सर विश्वास करते हैं कि चूंकि ये उपकरण सुरक्षा विक्रेताओं द्वारा बनाए गए सुरक्षा उत्पाद हैं, वे स्वाभाविक रूप से सुरक्षित हैं, जो निश्चित रूप से एक गलती है।

उदाहरण के लिए, एक हमलावर जो ईमेल सुरक्षा उपकरण पर रूट पहुंच प्राप्त करता है उससे अधिक कर सकता है वास्तविक प्रशासक कर सकते हैं, उन्होंने कहा। व्यवस्थापक इंटरफ़ेस के माध्यम से काम करता है और केवल स्पैम के रूप में फ़्लैग किए गए ईमेल पढ़ सकता है, लेकिन रूट खोल के साथ एक हमलावर उपकरण के माध्यम से गुजरने वाले सभी ईमेल ट्रैफ़िक को कैप्चर कर सकता है। एक बार समझौता हो जाने पर, सुरक्षा उपकरण नेटवर्क स्कैन के लिए आधार के रूप में भी काम कर सकते हैं और नेटवर्क पर अन्य कमजोर प्रणालियों के खिलाफ हमले कर सकते हैं।

जिस तरीके से उपकरणों पर हमला किया जा सकता है इस पर निर्भर करता है कि वे नेटवर्क के अंदर कैसे तैनात किए जाते हैं। परीक्षण किए गए उत्पादों के 50 प्रतिशत से अधिक में, वेब इंटरफ़ेस बाहरी नेटवर्क इंटरफ़ेस पर चला गया, विलियम्स ने कहा।

हालांकि, अगर इंटरफ़ेस इंटरनेट से सीधे पहुंच योग्य नहीं है, तो कई पहचान की गई त्रुटियां प्रतिबिंबित हमलों की अनुमति देती हैं, जहां हमलावर किसी दुर्भावनापूर्ण पृष्ठ पर जाने के लिए स्थानीय नेटवर्क पर व्यवस्थापक या उपयोगकर्ता को चालित करता है या विशेष रूप से तैयार किए गए लिंक पर क्लिक करने के लिए जो अपने ब्राउज़र के माध्यम से उपकरण के खिलाफ हमला करता है।

कुछ ईमेल गेटवे के मामले में, हमलावर विषय पंक्ति में क्रॉस-साइट स्क्रिप्टिंग भेद्यता के लिए शोषण कोड के साथ एक ईमेल तैयार और भेज सकते हैं। यदि ईमेल स्पैम के रूप में अवरुद्ध है और व्यवस्थापक उपकरण इंटरफ़ेस में इसका निरीक्षण करता है, तो कोड स्वचालित रूप से निष्पादित हो जाएगा।

तथ्य यह है कि सुरक्षा उत्पादों में ऐसी भेद्यताएं विडंबनापूर्ण हैं, विलियम्स ने कहा। हालांकि, गैर-सुरक्षा उत्पादों की स्थिति शायद बदतर है।

यह असंभव है कि इस तरह की भेद्यता का बड़े पैमाने पर हमलों में शोषण किया जाएगा, लेकिन इन्हें कमजोर उत्पादों का उपयोग करने वाली विशिष्ट कंपनियों के खिलाफ लक्षित हमलों में इस्तेमाल किया जा सकता है, उदाहरण के लिए औद्योगिक जासूसी लक्ष्यों के साथ राज्य प्रायोजित हमलावरों द्वारा, शोधकर्ता ने कहा।

कुछ आवाजें आईं हैं जो चीनी नेटवर्किंग विक्रेता हुवेई चीनी सरकार के अनुरोध पर अपने उत्पादों में छिपे हुए बैकडोर स्थापित कर सकती हैं, विलियम्स ने कहा। हालांकि, ज्यादातर उत्पादों में इन तरह की भेद्यताएं पहले से मौजूद हैं, इसलिए सरकार को शायद और भी जोड़ने की जरूरत नहीं है।

खुद को बचाने के लिए, कंपनियों को वेब इंटरफेस या एसएसएच सेवा को इन पर चलाना नहीं चाहिए शोधकर्ता ने कहा, इंटरनेट पर उत्पाद। उन्होंने कहा कि कुछ हमलों की प्रतिबिंबित प्रकृति के कारण इंटरफ़ेस तक पहुंच आंतरिक नेटवर्क तक भी सीमित होनी चाहिए।

प्रशासक को सामान्य ब्राउज़र के लिए एक ब्राउज़र का उपयोग करना चाहिए और वेब इंटरफेस के माध्यम से उपकरणों के प्रबंधन के लिए एक अलग होना चाहिए। उन्होंने कहा कि उन्हें फ़ायरफ़ॉक्स जैसे ब्राउज़र को नोस्क्रिप्ट सुरक्षा एक्सटेंशन के साथ स्थापित करना चाहिए।

विलियम्स ने कहा कि उन्होंने प्रभावित विक्रेताओं को भेजी गई भेद्यताओं की सूचना दी। उनके जवाब अलग-अलग थे, लेकिन आम तौर पर बड़े विक्रेताओं ने रिपोर्टों को संभालने, दोषों को ठीक करने और अपने ग्राहकों के साथ जानकारी साझा करने का सबसे अच्छा काम किया। उन्होंने कहा।