SecureWorks公司的网络安全研究团队已发现思科系统公司(Cisco)基于IOS的路由器和ASA系列防火墙中存在漏洞,而且迈克菲(McAfee)公司的网络安全管理控制台也有缺陷。
本周三该安全公司的研究人员Ben Feinstein、Jeff Jarmoc和Dan King在黑帽大会2010(Black Hat 2010)上展示了漏洞的细节,并告诫企业在实施安全技术之前要对其进行严格地审查。
“人们得到一个设备,然后就在他们的基础架构中使用它,而不去考虑它是否安全,这种现象很普遍,” SecureWorks公司网络安全工程师King说, “事实上,我们需要将它们包含在我们的PCI审计中,这样才能确保它们做它们应该做的事情。”
King展示了一个针对McAfee网络安全中央管理控制台的跨站点脚本攻击,网络安全管理控制台是一个管理企业在网络中部署的传感器的系统,是McAfee入侵防护系统(IPS)的一部分。该漏洞使攻击者能够在浏览器上执行远程代码,窃取管理员的登录会话cookie进行登录。通过使用该漏洞,攻击者可以完全控制McAfee的IPS。
该漏洞已经报告给McAfee,而且已经修复,但King表示,其他安全产品也存在类似的漏洞。由于企业在实施之前经常不会测试其安全系统,大部分错误都被忽视。King建议企业使用漏洞扫描器来检查其设备和其他安全设备中是否存在类似问题。他还建议使用端口扫描器来查找开放的网络端口。
SecureWorks公司的Jarmoc展示了在思科ASA系列防火墙(一种广泛部署于SoHo环境以及财富500强企业的防火墙)中的漏洞。其中一个漏洞允许攻击者绕过访问控制列表(ACL),这否定了防火墙的安全策略设置。Jarmoc还发现了思科自适应安全设备管理器(ASDM)中的问题,ASDM是一个基于Java的图形用户界面,用于管理防火墙。漏洞存在于身份验证机制,有几种不同的技术可以使用该漏洞,这些技术可以让攻击者获得管理员权限和执行代码。
“很明显的是,人们对这些设备很信任。”Jarmoc在接受SearchSecurity.com网站采访时说,“这些安全设备本应该帮助我们提高我们网络的安全性,所以当在这些设备中发现了漏洞,问题可能就特别棘手,因为它们的功能具有敏感性。”
Jarmoc展示了一个简单地通过跨站点请求伪造(CSRF)攻击来获取管理员权限的方法。在攻击中,浏览器缓存管理员访问防火墙的凭据。Jarmoc说,如果管理员访问一个将恶意请求指向防火墙的网站,攻击者就可以在防火墙上执行命令。思科漏洞已经修复,但如果企业不采用补丁的话,就有可能成为一个潜在的攻击目标。
Jarmoc说,“尽管这些安全设备和其他软件一样会出现问题。” 但企业不会把保持和评估网络防火墙和其他网络设备的安全性作为高度优先事项。通常,这些设备是由网络基础设施团队管理的,而不是安全团队。“企业高度优先事项一般是流量和保持正常运营,而不是维护设备安全性和完整性。”