研究员：安全设备存在严重漏洞

Williams调查了一些领先安全厂商的产品，其中包括赛门铁克，Sophos，趋势科技，思科，梭子鱼，迈克菲和思杰。有些作为渗透测试的一部分进行了分析，有些作为客户产品评估的一部分，以及其他业余时间的一部分。

[更多阅读：如何从Windows PC删除恶意软件]

超过80％的经过测试的产品具有相对容易发现的严重漏洞，至少对于一位有经验的研究人员来说，威廉姆斯说。他说，这些漏洞中有很多是基于Web的用户界面，他说。几乎所有测试过的安全设备的界面都没有防范暴力破解密码的问题，并且存在跨站点脚本漏洞，允许会话劫持。他们中的大多数人还向未经身份验证的用户公开了有关产品型号和版本的信息，这些信息会使攻击者更容易发现已知容易受到攻击的设备。

此类接口中发现的另一种常见类型的漏洞是跨站点请求伪造。这些瑕疵允许攻击者通过欺骗经过身份验证的管理员访问恶意网站来访问管理功能。许多接口还存在漏洞，允许命令注入和特权升级。

Williams发现的不太常见的缺陷包括直接认证绕过，带外跨站脚本，现场请求伪造，拒绝服务和SSH错误配置。他说，在他的演讲中，威廉姆斯提出了他去年在Sophos，赛门铁克和趋势科技的家用电器中发现的几个缺陷示例，这些缺陷可以用来获得完全控制权在产品上。威廉姆斯表示，在NCC集团的网站上发布了一份白皮书，其中包含更多有关其供应商和用户的调查结果和建议的详细信息。

根据威廉姆斯的说法，通常在贸易展会上，供应商声称他们的产品运行在“硬化”的Linux上。 “我不同意，”他说，“大多数测试过的设备实际上维护不当，Linux系统的内核版本过时，安装了旧的和不必要的软件包，以及其他糟糕的配置，Williams说。他们的文件系统也没有“硬化”，因为没有完整性检查，没有SELinux或AppArmour内核安全功能，而且很少发现不可写或不可执行的文件系统。

一个大问题是公司经常认为，因为这些设备是由安全厂商创建的安全产品，所以它们本质上是安全的，这绝对是一个错误，Williams说。例如，攻击者在电子邮件安全设备上获得根访问权限可能比实际管理员可以，他说。他说，管理员通过界面工作，只能读取标记为垃圾邮件的电子邮件，但使用root shell攻击者可以捕获通过设备的所有电子邮件流量。一旦遭到破坏，安全设备也可以作为网络扫描和攻击网络上其他脆弱系统的基础。

设备受到攻击的方式取决于它们在网络中的部署方式。 Williams说，在超过50％的测试产品中，Web界面在外部网络界面上运行，但即使界面不能从互联网直接访问，许多已发现的缺陷也允许进行反射式攻击，攻击者利用欺骗手段让管理员或本地网络上的用户访问恶意页面或点击专门制作的链接，通过浏览器对设备发起攻击。

对于某些电子邮件网关，攻击者可以制作并发送带有漏洞代码的电子邮件，以处理主题行中的跨站点脚本漏洞。如果电子邮件被阻止为垃圾邮件并且管理员在设备界面中检查它，代码将自动执行。

威廉姆斯说，安全产品中存在此类漏洞的事实具有讽刺意味。但他表示，非安全产品的情况可能更糟糕，他说，这种漏洞很可能不会在大规模攻击中被利用，但它们可以用于针对使用易受攻击产品的特定公司的针对性攻击由国家发起的具有工业间谍活动目标的攻击者，“威廉姆斯说，有些人声称中国网络供应商华为可能会根据中国政府的要求在其产品中安装隐藏的后门程序。但是，由于大多数产品中已经存在这样的漏洞，政府可能甚至不需要增加更多的漏洞，他说。为了保护自己，公司不应该公开在这些漏洞上运行的Web界面或SSH服务产品到互联网，研究人员说。由于某些攻击具有反射性质，访问界面也应限制在内部网络中。

管理员应该使用一个浏览器进行一般浏览，另一个浏览器通过Web界面管理设备。他说，他们应该使用安装了NoScript安全扩展功能的浏览器，比如Firefox。“威廉姆斯说，他向受影响的供应商报告了他发现的漏洞。他们的回答各不相同，但总的来说，大型供应商在处理报告，修复漏洞和与客户分享信息方面做得最好，他说。“