Dispositivos de seguridad están llenos de graves vulnerabilidades, dice investigador

Soy Digital

Las empresas no deben asumir que los productos de seguridad son absolutamente confiables, asegura un experto.

 

 

Lucian Constantin, IDG

 

La mayorí;a de las plataformas de correo electró;nico y Web, servidores de seguridad, servidores de acceso remoto, sistemas UTM (gestió;n unificado de amenazas) y otros dispositivos de seguridad tienen vulnerabilidades graves, de acuerdo con un investigador  que analizó; los productos de varios proveedores.

 

La mayorí;a de los dispositivos de seguridad están en malas condiciones con instalaciones del sistema Linux  para aplicaciones Web, segú;n Ben Williams, del NCC Group, quien presentó; sus hallazgos en el evento de Black Hat Europe 2013  durante una conferencia de seguridad en Amsterdam. Su charla se tituló; “Explotació;n iró;nica de productos de seguridad.”

 

Williams ha investigado los productos de algunos de los principales proveedores de seguridad, como Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee y Citrix. Algunos fueron analizados como parte de penetració;n y otros como parte de la evaluació;n de productos para los clientes.

 

Más del 80% de los productos analizados tení;an graves vulnerabilidades y eran relativamente fáciles de encontrar, al menos por un investigador experimentado, dijo Williams.

 

Las interfaces de casi todos los dispositivos de seguridad que se pusieron a prueba no tení;a ninguna protecció;n contra los impactos de contraseña de fuerza bruta y tení;a fallas de Cross-Site Scripting (XXS) que permiten el secuestro de la sesió;n.

 

La mayorí;a de ellos también expone informació;n sobre el modelo y la versió;n del producto a los usuarios no autenticados, lo que habrí;a hecho más fácil para los atacantes descubrir los aparatos que se sabe que son vulnerables.

 

Otro tipo comú;n de vulnerabilidad encontradas fueron en las interfaces de Cross-Site Request Forgery (CSRF). Estos defectos permiten a los atacantes acceder a la administració;n engañando a los administradores autenticados para que visiten sitios web maliciosos.

 

Un gran problema es que las empresas a menudo creen que debido a que estos son productos de seguridad creados por los fabricantes de seguridad, son completamente confiables, que es sin duda un error, dijo Williams.

 

Por ejemplo, si un atacante obtiene el acceso Root en un dispositivo de seguridad de correo electró;nico  puede hacer algo más de lo que el actual administrador tiene acceso, dijo. El administrador a través de la interfaz  só;lo puede leer mensajes de correo electró;nico marcados como spam, pero con un shell de root un atacante puede capturar todo el tráfico de correo electró;nico que pasa a través del aparato, dijo.

 

La forma en que los aparatos pueden ser atacados depende de có;mo se despliegan dentro de la red. En más del 50% de los productos analizados, la interfaz web corre en la interfaz de red externa, dijo Williams.

 

Sin embargo, aunque la interfaz no es directamente accesible desde Internet, muchos de los defectos identificados permitir ataques de reflexió;n, donde se engaña al administrador o un usuario de la red local para visitar una página maliciosa o hacer clic en un ví;nculo especialmente diseñado que lanza un ataque contra el aparato a través de su navegador.

 

Es iró;nico de que existan tales vulnerabilidades en productos de seguridad, dijo Williams. Es poco probable que estas vulnerabilidades se exploten en ataques masivos, pero podrí;an ser utilizados en ataques dirigidos contra compañí;as especí;ficas, por ejemplo, los relacionados con el espionaje industrial, dijo el investigador.

 

Algunos señalan que la creació;n de redes de proveedores chinos como Huawei, podrí;an hacer instalaciones ocultas en sus productos, a petició;n del gobierno chino, dijo Williams. Sin embargo, con las vulnerabilidades como estas ya existentes en la mayorí;a de los productos, lo del gobierno probablemente ni siquiera habrí;a que añadirlo, dijo.

 

Con el fin de protegerse, las empresas no deben exponer las interfaces web o el servicio SSH ejecutando estos productos a la Internet, dijo el investigador. El acceso a la interfaz, debe limitarse también a la red interna debido a la naturaleza reflexiva de algunos de los ataques.

 

Los administradores deben usar un navegador especí;fico para la gestió;n de los dispositivos a través de la interfaz web, dijo. Se debe utilizar un navegador como Firefox con la extensió;n de seguridad NoScript instalado, dijo.

Este artículo está clasificado como: , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR