不久前,瞻博网络公司的安全由于2015年12月的安全漏洞(CVE-2015-7755,CVE-2015-7756)而受到影响。对于验证的威胁,IT安全专业人士一直在关注很长时间了。这种未经授权的代码或组件设计以某种方式回避安全组件,不知何故植入到数据中心使用的网络产品。
至于安全公告是什么的声明,意味着,瞻博网络公司德里克?绍尔表示,“在这个时候,我们还没有收到这些漏洞被利用的任何报告;但是,我们强烈建议用户更新他们的系统,并下载安装最高优先级应用补丁的版本。”人们必须要知道,作为安全公告明确指出,“没有办法检测到,这个漏洞被利用。”
后门程序使事情变得更糟
瞻博网络公司迅速作出反应,并发出纠正更新。不过,其公告和发布修复为黑客们提供了攻击的机会。当初,任何人都不知道其有后门,现在很多人知道了这一事实。其次,修补程序是其路线图。荷兰安全公司的首席技术官罗纳德?普林斯表示,“一旦有人知道后门在哪里,就会去下载瞻博网络发布的补丁,然后去寻找后门,可以使用屏幕OS软件登录到瞻博公司的每个设备。”
而且从历史记录上看,瞻博网络公司一些设备仍然没有打补丁。
捕获加密数据
普林斯提出另一个问题。在这个大数据时代,这并是不合理的假设,一些怀有恶意的人或黑客可能对其目标长期感兴趣,已捕获加密流量,并希望能够有所突破。他表示,“如果其他国家的黑客从这些VPN设备截取VPN流量,他们将能够追溯历史,并对这种流量的内容进行解密。”
其他供应商
如果有的话,其他的网络厂商可能通过这些代码查看瞻博网络到底发生了什么事发情。思科公司安全和信任组织的高级主管安东尼?格里科表示,思科公司的政策是不能有“后门”。
“思科推出了审查制度,因为客户对我们的信任是至关重要的。我们没有瞻博网络公司那样的公告发布,我们的审核是不回应任何外界请求。我们这样做是因为这是正确的事情。”
Fortinet公司的工程师和质量保证团队成员也审查了他们的网络产品。这样做,他们发现了一个潜在的漏洞。Fortinet公司一名发言人指出,“该漏洞的设计,可能会提供在授权中注册的FortiGate设备提供无缝访问的机会。要注意,这不是实施授予非授权用户访问的恶意后门的情况下,它是重要的。在这一点上,是否确定犯罪嫌疑人采用植入程序进入后门,并提供未经授权的访问还为时尚早。然而,毫无疑问,这些代码确实有效果。”
还有什么选择吗?
至于可以什么做,专家们对如何减少后门侵入有一些想法。信息安全架构师约翰?丹?斯旺森建议,用户要坚持进行良好的补丁管理,以及实时更新代码。“员工应定期监测,或自动提醒采用用关键基础设施供应商发出的安全警告和代码更新。”斯旺森说。“在关键的安全漏洞中,可能会有允许远程代码执行或未经授权的访问,员工应安排和实施更新,尽快更新可用的代码。”
斯旺森建议还可采取一些预防性的措施,而不是等待或完全依靠厂商的补丁来解决这个问题。他建议,“关键基础设施,如防火墙和交换机需要适当实施供应商以下的最佳实践。旨在协助的实施指南通常可以在供应商的文档中找到。”
这通常包括:
?禁用不必要的服务。
?使用强大的密码,并删除或禁用内置的管理员帐户。
?启用强大的加密管理连接和VPN服务。
?使用更安全监控协议(SNMPv3版本,而不是SNMPv1版本)。
?确保有效的SSL证书适用。
斯旺森从网络的角度对安全问题进行了讨论。管理访问应该可以通过SSL安全Web或SSH(远程登录应该被禁用)安全隔离的网络专用带外管理接口,而不是向公众或其他内部用户或设备访问接口。“此外,大多数的基础设施将允许访问限制设置,只允许来自特定网络或IP地址的管理访问。”斯旺森补充说,“这一功能应该被用来允许只有授权的管理人员访问受信任的网络的设备。
其他数据中心运营商也可以实现,如果他们还没有正在监测和审计的关键基础设施的迹象,未经授权或异常访问的话。“如果SIEM(安全信息和事件管理)或其他日志管理工具可支持报警,他们应该进行配置,当意外登录的行为并得到检测,可以通知工作人员。”斯旺森说。“虽然这不是一种预防措施,早期检测未经授权的访问,并迅速响应是减少入侵影响的关键。”
产销监管链
企业需要他们的供应商进行安全编码实践负责。如果供应商不能成为新的硬件评估和采购过程的一部分,这可能不是一个好主意,要求类似于适用于在法庭使用的证据保管文件的可验证链?斯旺森表示要注意以下几个方面:
?是否代码审查都定期最初的开发和代码的支持生命周期内进行?
?是否有代码审核或由受信任的第三方审计?
?是否使用强大的硬件,以及现代密码标准所生成安全数字?
更多的考虑
而瞻博设备的后门代码如何安装的,很明显,是有人把它放在那里。但是,至于是谁,其可能猜测涉及公司内容的任何一个人。似乎有一件事可以作为提醒,木星网络在代码变更和版本控制时需要重新评估。其良好的变更和版本控制做法,会立即捕获这种未经授权的代码修改的行为。
还有一件事,一旦其离开组织的安全数据将变得更加困难。在某种意义上,瞻博VPN解密后门漏洞是最严重的类型。数据中心运营商在他们的组织内可能会坚持每一个最佳实践,但数据流量仍然是脆弱的。
“这是一个很好的做法,以确保在应用程序中通信开始时安全。”斯旺森表示,“除非迫不得已,人们不应该依赖VPN加密层。任何已经通过SSH隧道或加密数据流量,通过IPSecVPN将不会被这种或类似的漏洞完全解密。”
作为一个例子,这种类型的VPN的一个常见用途是保护向异地备份数据流量的位置。许多企业备份
解决方案中提供,在传输之前,将数据进行加密备份的能力。这种分层的方法来加密是另一个例子,而其纵深防御的工作,应提供VPN解密攻击的保护措施。
没有确定的答案
虽然没有任何组织可以完全防止类似瞻博网络的VPN解密的问题,许多上述的做法还是有助于降低关键基础设施的整体攻击次数,从而减少硬件的成功妥协的可能性。这些措施也将有助于限制任何妥协的范围,并可能减少妥协的响应时间。
河南尊托云数科技股份有限公司(www.enkj.com)始创于2000年,专注服务器托管租用,是国家工信部认定的综合电信服务运营商。尊托云数为近五十万的用户提供服务器托管、服务器租用、机柜租用、云服务器、网站建设、网站托管等网络基础服务,另有网总管、名片侠网络推广服务,使得客户不断的获得更大的收益。
服务器/云主机 24小时售后服务电话:
0371-60135900
虚拟主机/智能建站 24小时售后服务电话:
0371-55621053
网络版权侵权举报电话:
0371-60135995
服务热线:
0371-60135900
