Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 2074 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Serious] UTM Not Vulnerable Itself

TuxBrother
Link.

Williams investigated products from some of the leading security vendors, including Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee and Citrix. Some were analyzed as part of penetration tests, some as part of product evaluations for customers, and others in his spare time.


The interfaces of almost all tested security appliances had no protection against brute-force password cracking and had cross-site scripting flaws that allowed session hijacking.


I think this is serious? Can please someone from the devs take a look at it? Also, a PDF with more details is included in the source.


This thread was automatically locked due to age.
  • 0
    As an FYI:  Astaro/Sophos UTM was not part of the testing for the white paper.  The Sophos Email Appliance is a completely separate product with different base code, OS, and development team.

    We do a great deal of security testing on the platform to stay ahead of any gotchas like these and will continue to do so.
  • 0
    There's an interesting bit of information that might be relevant to the code used in the End User Portal:
    In the case of some email gateways, the attacker can craft and send an email with exploit code for a cross-site scripting vulnerability in the subject line. If the email is blocked as spam and the administrator inspects it in the appliance interface, the code will execute automatically.


    And, an interesting suggestion.  In fact, I've been doing this because I was having issues with graphs in WebAdmin when using IE9.
    Administrators should use one browser for general browsing and a different one for managing the appliances via the Web interface, he said. They should use a browser such as Firefox with the NoScript security extension installed, he said.

    I've installed NoScript.  Good article.  Thanks for posting this!

    Cheers - Bob
    PS Ben William's full white paper is available on the NCC Group's website: http://www.nccgroup.com/media/230493/hacking_appliances_whitepaper_ben_williams_1.1.pdf
  • 0 in reply to BAlfson
    I love reading security articles but hate the ones with scary headlines that fail to deliver in content. In the pdf posted by Bob, here are the ways the author thinks the passwords can be exploited
     Known username (default, documented and often fixed) Even most simple appliances don't have fixed passwords for the last decade, maybe 15 years
     Linux platform with a scalable and responsive webserver Don't know what webserver has to do with the list. I guess author thinks webserver means hackable[8-)]
     No account lockout
     No brute-force protection
     Minimal password complexity requirements
     Often no logging/alerting
     Administrators choose poor passwords like “P@ssw0rd1” or “!Adm1n# What does this have to do with sofos or any other vendor as far as security is concerned. Admin Problem!!

     Also further down, all of a sudden he is able to log in using ssh as a local user and then write to directories that even most open linux systems don't allow you to write to. Where did he get the ssh access as a local user. There is no mention of that. If he is doing penetration testing from inside the LAN that is totally different than external hacking and definitely doesn't deserve the big headline like "Security appliances are riddled with serious vulnerabilities" 

    Any 6th grader can run brute force password crackers on software that doesn't limit the number of invalid logins. What is the point of this article again[:S]
  • 0
    Bill, I thought it was interesting that Sophos, Symantec and Citrix responded quickly and correctly, but that pfSense and Trend took no action.  Since Sophos and the NCC Group are both English companies, I would have expected them to communicate very effectively, but their response is reassuring.

    As for the Sophos issue, I was interested in the capture of the SSH key by CSRF of an email release from quarantine.  We all know not to click on unrequested links, but I didn't know that this type of Forgery was possible.

    I dunno, Bill, maybe you don't like him because he went to Mississippi State? [:D]

    Cheers - Bob
  • 0
    somebody is 100% sure that can blow up my network from the console!!!
    I asked 2 min to his console, and take out only the HDD [:D]
  • 0 in reply to BAlfson
    Bill, I thought it was interesting that Sophos, Symantec and Citrix responded quickly and correctly, but that pfSense and Trend took no action. 

    Because people at pfsense know that it takes a little more brain power than a bozo to configure pfsense[:P]  Just kidding[[[:D]]][[[:D]]]

     As for the Sophos issue, I was interested in the capture of the SSH key by CSRF of an email release from quarantine.  We all know not to click on unrequested links, but I didn't know that this type of Forgery was possible.
     You are right but I was so turned off by the initial novice presentation that I couldn't stay engaged long enough to find the good stuff that you are pointing out.

    I dunno, Bill, maybe you don't like him because he went to Mississippi State? [[[:D]]]
    Didn't know that but you would be proud to know that I am a big sooners fan. 

    Good to see you in good spirits,
    Best Regards
    Bill