黑帽大會：思科邁克菲均“被漏洞”

Win7之家（ afsion.com.cn）：黑帽大會：思科邁克菲均“被漏洞”

        SecureWorks公司的網(wǎng)絡(luò)安全研究團(tuán)隊已發(fā)現(xiàn)思科系統(tǒng)公司（Cisco）基于IOS的路由器和ASA系列防火墻中存在漏洞，而且邁克菲（McAfee）公司的網(wǎng)絡(luò)安全管理控制臺也有缺陷。

　　本周三該安全公司的研究人員Ben Feinstein、Jeff Jarmoc和Dan King在黑帽大會2010（Black Hat 2010）上展示了漏洞的細(xì)節(jié)，并告誡企業(yè)在實施安全技術(shù)之前要對其進(jìn)行嚴(yán)格地審查。

　　“人們得到一個設(shè)備，然后就在他們的基礎(chǔ)架構(gòu)中使用它，而不去考慮它是否安全，這種現(xiàn)象很普遍，” SecureWorks公司網(wǎng)絡(luò)安全工程師King說， “事實上，我們需要將它們包含在我們的PCI審計中，這樣才能確保它們做它們應(yīng)該做的事情。”

　　King展示了一個針對McAfee網(wǎng)絡(luò)安全中央管理控制臺的跨站點腳本攻擊，網(wǎng)絡(luò)安全管理控制臺是一個管理企業(yè)在網(wǎng)絡(luò)中部署的傳感器的系統(tǒng)，是McAfee入侵防護(hù)系統(tǒng)（IPS）的一部分。該漏洞使攻擊者能夠在瀏覽器上執(zhí)行遠(yuǎn)程代碼，竊取管理員的登錄會話cookie進(jìn)行登錄。通過使用該漏洞，攻擊者可以完全控制McAfee的IPS。

　　該漏洞已經(jīng)報告給McAfee，而且已經(jīng)修復(fù)，但King表示，其他安全產(chǎn)品也存在類似的漏洞。由于企業(yè)在實施之前經(jīng)常不會測試其安全系統(tǒng)，大部分錯誤都被忽視。King建議企業(yè)使用漏洞掃描器來檢查其設(shè)備和其他安全設(shè)備中是否存在類似問題。他還建議使用端口掃描器來查找開放的網(wǎng)絡(luò)端口。

　　SecureWorks公司的Jarmoc展示了在思科ASA系列防火墻（一種廣泛部署于SoHo環(huán)境以及財富500強(qiáng)企業(yè)的防火墻）中的漏洞。其中一個漏洞允許攻擊者繞過訪問控制列表（ACL），這否定了防火墻的安全策略設(shè)置。Jarmoc還發(fā)現(xiàn)了思科自適應(yīng)安全設(shè)備管理器（ASDM）中的問題，ASDM是一個基于Java的圖形用戶界面，用于管理防火墻。漏洞存在于身份驗證機(jī)制，有幾種不同的技術(shù)可以使用該漏洞，這些技術(shù)可以讓攻擊者獲得管理員權(quán)限和執(zhí)行代碼。

　　“很明顯的是，人們對這些設(shè)備很信任。”Jarmoc在接受SearchSecurity.com網(wǎng)站采訪時說，“這些安全設(shè)備本應(yīng)該幫助我們提高我們網(wǎng)絡(luò)的安全性，所以當(dāng)在這些設(shè)備中發(fā)現(xiàn)了漏洞，問題可能就特別棘手，因為它們的功能具有敏感性。”

　　Jarmoc展示了一個簡單地通過跨站點請求偽造（CSRF）攻擊來獲取管理員權(quán)限的方法。在攻擊中，瀏覽器緩存管理員訪問防火墻的憑據(jù)。Jarmoc說，如果管理員訪問一個將惡意請求指向防火墻的網(wǎng)站，攻擊者就可以在防火墻上執(zhí)行命令。思科漏洞已經(jīng)修復(fù)，但如果企業(yè)不采用補(bǔ)丁的話，就有可能成為一個潛在的攻擊目標(biāo)。

　　Jarmoc說，“盡管這些安全設(shè)備和其他軟件一樣會出現(xiàn)問題。” 但企業(yè)不會把保持和評估網(wǎng)絡(luò)防火墻和其他網(wǎng)絡(luò)設(shè)備的安全性作為高度優(yōu)先事項。通常，這些設(shè)備是由網(wǎng)絡(luò)基礎(chǔ)設(shè)施團(tuán)隊管理的，而不是安全團(tuán)隊。“企業(yè)高度優(yōu)先事項一般是流量和保持正常運營，而不是維護(hù)設(shè)備安全性和完整性。”