Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 2076 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Serious] UTM Not Vulnerable Itself

TuxBrother
Link.

Williams investigated products from some of the leading security vendors, including Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee and Citrix. Some were analyzed as part of penetration tests, some as part of product evaluations for customers, and others in his spare time.


The interfaces of almost all tested security appliances had no protection against brute-force password cracking and had cross-site scripting flaws that allowed session hijacking.


I think this is serious? Can please someone from the devs take a look at it? Also, a PDF with more details is included in the source.


This thread was automatically locked due to age.
Parents
  • 0
    There's an interesting bit of information that might be relevant to the code used in the End User Portal:
    In the case of some email gateways, the attacker can craft and send an email with exploit code for a cross-site scripting vulnerability in the subject line. If the email is blocked as spam and the administrator inspects it in the appliance interface, the code will execute automatically.


    And, an interesting suggestion.  In fact, I've been doing this because I was having issues with graphs in WebAdmin when using IE9.
    Administrators should use one browser for general browsing and a different one for managing the appliances via the Web interface, he said. They should use a browser such as Firefox with the NoScript security extension installed, he said.

    I've installed NoScript.  Good article.  Thanks for posting this!

    Cheers - Bob
    PS Ben William's full white paper is available on the NCC Group's website: http://www.nccgroup.com/media/230493/hacking_appliances_whitepaper_ben_williams_1.1.pdf
Reply
  • 0
    There's an interesting bit of information that might be relevant to the code used in the End User Portal:
    In the case of some email gateways, the attacker can craft and send an email with exploit code for a cross-site scripting vulnerability in the subject line. If the email is blocked as spam and the administrator inspects it in the appliance interface, the code will execute automatically.


    And, an interesting suggestion.  In fact, I've been doing this because I was having issues with graphs in WebAdmin when using IE9.
    Administrators should use one browser for general browsing and a different one for managing the appliances via the Web interface, he said. They should use a browser such as Firefox with the NoScript security extension installed, he said.

    I've installed NoScript.  Good article.  Thanks for posting this!

    Cheers - Bob
    PS Ben William's full white paper is available on the NCC Group's website: http://www.nccgroup.com/media/230493/hacking_appliances_whitepaper_ben_williams_1.1.pdf
Children
  • 0 in reply to BAlfson
    I love reading security articles but hate the ones with scary headlines that fail to deliver in content. In the pdf posted by Bob, here are the ways the author thinks the passwords can be exploited
     Known username (default, documented and often fixed) Even most simple appliances don't have fixed passwords for the last decade, maybe 15 years
     Linux platform with a scalable and responsive webserver Don't know what webserver has to do with the list. I guess author thinks webserver means hackable[8-)]
     No account lockout
     No brute-force protection
     Minimal password complexity requirements
     Often no logging/alerting
     Administrators choose poor passwords like “P@ssw0rd1” or “!Adm1n# What does this have to do with sofos or any other vendor as far as security is concerned. Admin Problem!!

     Also further down, all of a sudden he is able to log in using ssh as a local user and then write to directories that even most open linux systems don't allow you to write to. Where did he get the ssh access as a local user. There is no mention of that. If he is doing penetration testing from inside the LAN that is totally different than external hacking and definitely doesn't deserve the big headline like "Security appliances are riddled with serious vulnerabilities" 

    Any 6th grader can run brute force password crackers on software that doesn't limit the number of invalid logins. What is the point of this article again[:S]