研究人員發現思科防火墻漏洞和邁克菲控制臺漏洞
SecureWorks公司的網絡安全研究團隊已發現思科系統公司(Cisco)基于IOS的路由器和ASA系列防火墻中存在漏洞,而且邁克菲(McAfee)公司的網絡安全管理控制臺也有缺陷。
本周三該安全公司的研究人員Ben Feinstein、Jeff Jarmoc和Dan King在黑帽大會2010(Black Hat 2010)上展示了漏洞的細節,并告誡企業在實施安全技術之前要對其進行嚴格地審查。
“人們得到一個設備,然后就在他們的基礎架構中使用它,而不去考慮它是否安全,這種現象很普遍,” SecureWorks公司網絡安全工程師King說, “事實上,我們需要將它們包含在我們的PCI審計中,這樣才能確保它們做它們應該做的事情。”
King展示了一個針對McAfee網絡安全中央管理控制臺的跨站點腳本攻擊,網絡安全管理控制臺是一個管理企業在網絡中部署的傳感器的系統,是McAfee入侵防護系統(IPS)的一部分。該漏洞使攻擊者能夠在瀏覽器上執行遠程代碼,竊取管理員的登錄會話cookie進行登錄。通過使用該漏洞,攻擊者可以完全控制McAfee的IPS。
該漏洞已經報告給McAfee,而且已經修復,但King表示,其他安全產品也存在類似的漏洞。由于企業在實施之前經常不會測試其安全系統,大部分錯誤都被忽視。King建議企業使用漏洞掃描器來檢查其設備和其他安全設備中是否存在類似問題。他還建議使用端口掃描器來查找開放的網絡端口。
SecureWorks公司的Jarmoc展示了在思科ASA系列防火墻(一種廣泛部署于SoHo環境以及財富500強企業的防火墻)中的漏洞。其中一個漏洞允許攻擊者繞過訪問控制列表(ACL),這否定了防火墻的安全策略設置。Jarmoc還發現了思科自適應安全設備管理器(ASDM)中的問題,ASDM是一個基于Java的圖形用戶界面,用于管理防火墻。漏洞存在于身份驗證機制,有幾種不同的技術可以使用該漏洞,這些技術可以讓攻擊者獲得管理員權限和執行代碼。
“很明顯的是,人們對這些設備很信任。”Jarmoc在接受SearchSecurity.com網站采訪時說,“這些安全設備本應該幫助我們提高我們網絡的安全性,所以當在這些設備中發現了漏洞,問題可能就特別棘手,因為它們的功能具有敏感性。”
Jarmoc展示了一個簡單地通過跨站點請求偽造(CSRF)攻擊來獲取管理員權限的方法。在攻擊中,瀏覽器緩存管理員訪問防火墻的憑據。Jarmoc說,如果管理員訪問一個將惡意請求指向防火墻的網站,攻擊者就可以在防火墻上執行命令。思科漏洞已經修復,但如果企業不采用補丁的話,就有可能成為一個潛在的攻擊目標。
Jarmoc說,“盡管這些安全設備和其他軟件一樣會出現問題。” 但企業不會把保持和評估網絡防火墻和其他網絡設備的安全性作為高度優先事項。通常,這些設備是由網絡基礎設施團隊管理的,而不是安全團隊。“企業高度優先事項一般是流量和保持正常運營,而不是維護設備安全性和完整性。”
【編輯推薦】
