SecureWorks公司的网络安全研究团队已发明思科系统公司(Cisco)基于IOS的路由器和ASA系列防火墙中存在漏洞,而且迈克菲(McAfee)公司的网络安全管理把持台也有缺点。
本周三该安全公司的研究人员Ben Feinstein、Jeff Jarmoc和Dan King在黑帽大会2010(Black Hat 2010)上展现了漏洞的细节,并告诫企业在实行安全技巧之前要对其进行严格地审查。
“人们得到一个设备,然后就在他们的基础架构中应用它,而不去考虑它是否安全,这种现象很广泛,” SecureWorks公司网络安全工程师King说, “事实上,我们需要将它们包含在我们的PCI审计中,这样才干确保它们做它们应当做的事情。”
King展现了一个针对McAfee网络安全中央管理把持台的跨站点脚本攻击,网络安全管理把持台是一个管理企业在网络中安排的传感器的系统,是McAfee入侵防护系统(IPS)的一部分。该漏洞使攻击者能够在浏览器上履行远程代码,窃取管理员的登录会话cookie进行登录。通过应用该漏洞,攻击者可以完整把持McAfee的IPS。
该漏洞已经报告给McAfee,而且已经修复,但King表现,其他安全产品也存在类似的漏洞。由于企业在实行之前经常不会测试其安全系统,大部分错误都被疏忽。King建议企业应用漏洞扫描器来检查其设备和其他安全设备中是否存在类似问题。他还建议应用端口扫描器来查找开放的网络端口。
SecureWorks公司的Jarmoc展现了在思科ASA系列防火墙(一种广泛安排于SoHo环境以及财富500强企业的防火墙)中的漏洞。其中一个漏洞容许攻击者绕过访问把持列表(ACL),这否定了防火墙的安全策略设置。Jarmoc还发明了思科自适应安全设备管理器(ASDM)中的问题,ASDM是一个基于Java的图形用户界面,用于管理防火墙。漏洞存在于身份验证机制,有几种不同的技巧可以应用该漏洞,这些技巧可以让攻击者获得管理员权限和履行代码。
“很明显的是,人们对这些设备很信任。”Jarmoc在接收SearchSecurity.com网站采访时说,“这些安全设备本应当帮助我们进步我们网络的安全性,所以当在这些设备中发明了漏洞,问题可能就特别棘手,因为它们的功效具有敏感性。”
Jarmoc展现了一个简略地通过跨站点恳求捏造(CSRF)攻击来获取管理员权限的方法。在攻击中,浏览器缓存管理员访问防火墙的凭据。Jarmoc说,如果管理员访问一个将恶意恳求指向防火墙的网站,攻击者就可以在防火墙上履行命令。思科漏洞已经修复,但如果企业不采用补丁的话,就有可能成为一个潜在的攻击目标。
Jarmoc说,“尽管这些安全设备和其他软件一样会呈现问题。” 但企业不会把保持和评估网络防火墙和其他网络设备的安全性作为高度优先事项。通常,这些设备是由网络基础设施团队管理的,而不是安全团队。“企业高度优先事项一般是流量和保持正常运营,而不是保护设备安全性和完整性。”
相关阅读