Forscher: Sicherheitsapplikationen sind mit schwerwiegenden Schwachstellen behaftet.

Die meisten E-Mail- und Web-Gateways, Firewalls, Remote-Access-Server, UTM-Systeme (Unified Threat Management) und andere Sicherheitsanwendungen Laut einem Sicherheitsforscher, der Produkte verschiedener Anbieter analysiert hat, sind die Sicherheitslücken erheblich.

Die meisten Sicherheitsappliances sind schlecht gewartete Linux - Systeme mit unsicheren Web - Anwendungen, wie Ben Williams, Penetration Tester bei NCC Group, mitteilte Erkenntnisse am Donnerstag auf der Sicherheitskonferenz Black Hat Europe 2013 in Amsterdam. Sein Vortrag trug den Titel "Ironic Exploitation of Security Products".

Williams untersuchte Produkte von einigen der führenden Sicherheitsanbieter, darunter Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee und Citrix. Einige wurden im Rahmen von Penetrationstests analysiert, andere im Rahmen von Produktbewertungen für Kunden und andere in seiner Freizeit.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Mehr als 80 Prozent der Die getesteten Produkte wiesen ernsthafte Schwachstellen auf, die relativ leicht zu finden waren, zumindest für einen erfahrenen Forscher, sagte Williams. Viele dieser Schwachstellen seien in den Web-basierten Benutzerschnittstellen der Produkte enthalten.

Die Schnittstellen fast aller getesteten Sicherheitsappliances hatten keinen Schutz vor Brute-Force-Passwort-Cracking und wiesen Cross-Site-Scripting-Fehler auf, die Session-Hijacking ermöglichten. Die meisten von ihnen enthüllten auch Informationen über das Produktmodell und die Version für nicht authentifizierte Benutzer, die Angreifern die Erkennung von als anfällig bekannten Geräten erleichtert hätten.

Ein weiterer häufiger Typ von Sicherheitslücken in solchen Schnittstellen war standortübergreifend Bitte fälschen. Solche Fehler ermöglichen es Angreifern, auf Verwaltungsfunktionen zuzugreifen, indem authentifizierte Administratoren dazu gebracht werden, bösartige Websites zu besuchen. Viele Schnittstellen wiesen auch Sicherheitslücken auf, die das Injizieren von Befehlen und die Erweiterung von Berechtigungen ermöglichten.

Fehler, die Williams seltener fand, waren direkte Authentifizierungs-Umgehungen, Cross-Site-Skripting vor Ort, Vor-Ort-Anfragefälschung, Denial-of-Service und SSH-Fehlkonfiguration. Es gab eine Menge anderer, obskurerer Probleme, sagte er.

Während seiner Präsentation präsentierte Williams einige Beispiele von Mängeln, die er letztes Jahr in Appliances von Sophos, Symantec und Trend Micro gefunden hatte, um die volle Kontrolle zu erlangen über die Produkte. Ein Whitepaper mit weiteren Details zu seinen Ergebnissen und Empfehlungen für Anbieter und Anwender wurde auf der NCC Group-Website veröffentlicht.

Laut Williams behaupten Anbieter auf Messen häufig, dass ihre Produkte auf "gehärtetem" Linux laufen. "Ich stimme nicht zu", sagte er.

Die meisten getesteten Appliances waren tatsächlich schlecht gewartete Linux-Systeme mit veralteten Kernel-Versionen, alte und unnötige Pakete installiert und andere schlechte Konfigurationen, sagte Williams. Ihre Dateisysteme waren auch nicht "gehärtet", da es keine Integritätsüberprüfung gab, keine SELinux- oder AppArmour-Kernel-Sicherheitsfunktionen, und es war selten, nicht beschreibbare oder nicht ausführbare Dateisysteme zu finden.

Ein großes Problem sind die Unternehmen Oft glauben sie, dass, weil diese Appliances Sicherheitsprodukte sind, die von Sicherheitsanbietern erstellt wurden, sie von Natur aus sicher sind, was definitiv ein Fehler ist, sagte Williams.

Zum Beispiel kann ein Angreifer, der Root-Zugriff auf einer E-Mail Security Appliance erlangt, mehr tun als der tatsächliche Administrator kann, sagte er. Der Administrator arbeitet über die Schnittstelle und kann nur E-Mails lesen, die als Spam markiert sind, aber mit einer Root-Shell kann ein Angreifer den gesamten E-Mail-Verkehr erfassen, der durch die Appliance läuft, sagte er. Nach der Kompromittierung können Security Appliances auch als Grundlage für Netzwerk-Scans und Angriffe auf andere anfällige Systeme im Netzwerk dienen.

Wie Appliances angegriffen werden können, hängt davon ab, wie sie im Netzwerk eingesetzt werden. In mehr als 50 Prozent der getesteten Produkte lief die Webschnittstelle auf der externen Netzwerkschnittstelle, sagte Williams.

Jedoch, selbst wenn die Schnittstelle nicht direkt aus dem Internet zugänglich ist, ermöglichen viele der erkannten Fehler reflektierende Angriffe, wobei der Angreifer den Administrator oder einen Benutzer im lokalen Netzwerk dazu bringt, eine schädliche Seite zu besuchen oder auf einen speziell gestalteten Link zu klicken, der über seinen Browser einen Angriff auf die Appliance auslöst.

Bei einigen E-Mail-Gateways der Angreifer kann eine E-Mail mit Exploit-Code für eine Cross-Site-Scripting-Schwachstelle in der Betreffzeile erstellen und versenden. Wenn die E-Mail als Spam blockiert wird und der Administrator sie in der Appliance überprüft, wird der Code automatisch ausgeführt.

Die Tatsache, dass solche Sicherheitslücken in Sicherheitsprodukten vorhanden sind, ist ironisch, sagte Williams. Allerdings sei die Situation bei Nicht-Sicherheitsprodukten wahrscheinlich schlechter, sagte er.

Es ist unwahrscheinlich, dass solche Schwachstellen bei Massenangriffen ausgenutzt werden, aber sie könnten bei gezielten Angriffen gegen bestimmte Unternehmen verwendet werden, die beispielsweise die anfälligen Produkte verwenden "Es gab Stimmen, die sagten, dass der chinesische Netzwerkanbieter Huawei auf Anfrage der chinesischen Regierung versteckte Hintertüren in seine Produkte einbauen könnte", sagte Williams. Mit Sicherheitslücken wie diesen, die in den meisten Produkten bereits vorhanden sind, würde eine Regierung wahrscheinlich nicht einmal mehr hinzufügen müssen.

Um sich selbst zu schützen, sollten Unternehmen die Web-Schnittstellen oder den darauf laufenden SSH-Dienst nicht offen legen Produkte zum Internet, sagte der Forscher. Der Zugriff auf die Schnittstelle sollte wegen der reflektierenden Natur einiger Angriffe auch auf das interne Netzwerk beschränkt sein.

Administratoren sollten einen Browser zum allgemeinen Browsen und einen anderen zum Verwalten der Appliances über die Webschnittstelle verwenden, sagte er. Sie sollten einen Browser wie Firefox mit der NoScript-Sicherheitserweiterung verwenden, sagte er.

Williams sagte, er habe die Sicherheitslücken, die er entdeckt habe, den betroffenen Anbietern gemeldet. Ihre Antworten waren unterschiedlich, aber im Allgemeinen haben die großen Anbieter die Berichte am besten bearbeitet, die Fehler behoben und die Informationen mit ihren Kunden geteilt, sagte er.