StarTrek 25th Anniversary Video Game Playthrough Complete Golden Oldies
La mayoría de los gateways de correo electrónico y web, firewalls, servidores de acceso remoto, sistemas UTM (gestión de amenazas unificadas) y otros dispositivos de seguridad. tiene vulnerabilidades serias, según un investigador de seguridad que analizó productos de múltiples proveedores.
La mayoría de los dispositivos de seguridad son sistemas Linux mal mantenidos con aplicaciones web inseguras instaladas en ellos, según Ben Williams, un analista de penetración en NCC Group, quien presentó su hallazgos el jueves en la conferencia de seguridad Black Hat Europe 2013 en Amsterdam. Su charla se tituló, "Explotación irónica de productos de seguridad".
Williams investigó productos de algunos de los principales proveedores de seguridad, incluidos Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee y Citrix. Algunos fueron analizados como parte de las pruebas de penetración, algunos como parte de las evaluaciones de productos para clientes y otros en su tiempo libre.
[Más información: Cómo eliminar el malware de su PC con Windows]Más del 80 por ciento del los productos probados tenían vulnerabilidades serias que eran relativamente fáciles de encontrar, al menos para un investigador experimentado, dijo Williams. Muchas de estas vulnerabilidades estaban en las interfaces de usuario basadas en la Web de los productos, dijo.
Las interfaces de casi todos los dispositivos de seguridad probados no tenían protección contra el descifrado de contraseñas de fuerza bruta y tenían fallas de scripts entre sitios que permitían el secuestro de la sesión. La mayoría de ellos también expuso información sobre el modelo de producto y la versión a usuarios no autenticados, lo que habría facilitado que los atacantes descubrieran dispositivos que se sabe que son vulnerables.
Otro tipo común de vulnerabilidad que se encontró en tales interfaces fue el sitio cruzado solicitar falsificación Dichos errores permiten a los atacantes acceder a las funciones de administración al engañar a los administradores autenticados para que visiten sitios web maliciosos. Muchas interfaces también tenían vulnerabilidades que permitían la inyección de comandos y la escalada de privilegios.
Los defectos que Williams encontró con menos frecuencia incluían derivaciones de autenticación directa, scripts entre sitios fuera de banda, falsificación de solicitudes en el sitio, denegación de servicio y configuración incorrecta de SSH. Hubo muchos otros problemas más oscuros, dijo.
Durante su presentación, Williams presentó varios ejemplos de fallas que encontró el año pasado en dispositivos de Sophos, Symantec y Trend Micro que podrían usarse para obtener el control total. sobre los productos. En el sitio web del Grupo NCC se publicó un libro blanco con más detalles sobre sus hallazgos y recomendaciones para vendedores y usuarios.
A menudo, en ferias comerciales, los vendedores afirman que sus productos se ejecutan en Linux "reforzado", según Williams. "No estoy de acuerdo", dijo.
Los dispositivos más probados eran en realidad sistemas Linux mal mantenidos con versiones de kernel obsoletas, paquetes viejos e innecesarios instalados y otras configuraciones deficientes, dijo Williams. Sus sistemas de archivos tampoco estaban "endurecidos", ya que no había comprobación de integridad, ni SELinux ni características de seguridad del kernel AppArmour, y era raro encontrar sistemas de archivos no grabables o no ejecutables.
Un gran problema es que las empresas a menudo creen que debido a que estos dispositivos son productos de seguridad creados por proveedores de seguridad, son intrínsecamente seguros, lo que definitivamente es un error, dijo Williams.
Por ejemplo, un atacante que obtiene acceso a raíz en un dispositivo de seguridad de correo electrónico puede hacer más que el verdadero administrador puede, dijo. El administrador trabaja a través de la interfaz y solo puede leer correos electrónicos marcados como spam, pero con un shell raíz un atacante puede capturar todo el tráfico de correo electrónico que pasa a través del dispositivo, dijo. Una vez comprometidos, los dispositivos de seguridad también pueden servir como base para escaneos de red y ataques contra otros sistemas vulnerables en la red.
La forma en que se pueden atacar los dispositivos depende de cómo se implementan dentro de la red. En más del 50 por ciento de los productos probados, la interfaz web se ejecutó en la interfaz de red externa, dijo Williams.
Sin embargo, incluso si la interfaz no es accesible directamente desde Internet, muchos de los defectos identificados permiten ataques reflectantes, donde el atacante engaña al administrador o a un usuario en la red local para visitar una página maliciosa o hacer clic en un enlace específicamente diseñado que lanza un ataque contra el dispositivo a través de su navegador.
En el caso de algunas pasarelas de correo electrónico, el atacante puede crear y enviar un correo electrónico con código de explotación para una vulnerabilidad de scripts entre sitios en la línea de asunto. Si el correo electrónico está bloqueado como correo no deseado y el administrador lo inspecciona en la interfaz del dispositivo, el código se ejecutará automáticamente.
El hecho de que tales vulnerabilidades existan en los productos de seguridad es irónico, dijo Williams. Sin embargo, la situación con los productos que no son de seguridad es probablemente peor, dijo.
Es poco probable que esas vulnerabilidades se exploten en ataques masivos, pero podrían usarse en ataques dirigidos contra compañías específicas que usan los productos vulnerables, por ejemplo. por atacantes patrocinados por el estado con objetivos de espionaje industrial, dijo el investigador.
Hubo algunas voces que dijeron que el proveedor chino de redes Huawei podría estar instalando puertas traseras ocultas en sus productos a pedido del gobierno chino, dijo Williams. Sin embargo, con vulnerabilidades como estas ya existentes en la mayoría de los productos, un gobierno probablemente ni siquiera necesitaría agregar más, dijo.
Para protegerse, las empresas no deberían exponer las interfaces Web o el servicio SSH que se ejecuta en estos productos a Internet, dijo el investigador. El acceso a la interfaz también debe restringirse a la red interna debido a la naturaleza reflexiva de algunos de los ataques.
Los administradores deberían usar un navegador para la navegación general y uno diferente para administrar los dispositivos a través de la interfaz web, dijo. Deberían usar un navegador como Firefox con la extensión de seguridad NoScript instalada, dijo.
Williams dijo que informó las vulnerabilidades que descubrió a los proveedores afectados. Sus respuestas variaron, pero en general los grandes vendedores hicieron el mejor trabajo al manejar los informes, corregir los defectos y compartir la información con sus clientes, dijo.
Amazon Kindle, programa de demostración Larson Success Los lectores electrónicos están aquí para quedarse
El futuro se ve prometedor para los libros electrónicos. Esta semana trajo dos anuncios importantes: Amazon informó que su e-reader Kindle, recientemente bajado a $ 189 desde $ 259, se ha agotado (aunque de forma temporal); y el fallecido escritor sueco Stieg Larsson, mejor conocido por su Trilogía del Milenio, incluyendo
Investigador de seguridad advierte sobre los reemplazos de BlackBerry en los Emiratos Árabes Unidos
Un investigador de seguridad advirtió que los receptores de un reemplazo de BlackBerry en EE. UU. debería escanear su nuevo teléfono en busca de spyware.
Investigador: vulnerabilidades en los sistemas de aeronaves permiten secuestro remoto de aviones
La falta de seguridad en las tecnologías de comunicación utilizadas en la industria de la aviación hace posible explotar vulnerabilidades en sistemas críticos a bordo y atacar aviones en vuelo, según una investigación presentada el miércoles en la conferencia de seguridad Hack in the Box en Amsterdam.