Check Point odhalil zranitelnosti v portálech pro správu systémů tří bezpečnostních dodavatelů.

Check Point odhalil zranitelnosti v portálech pro správu systémů tří bezpečnostních dodavatelů.
Autor: Redakce|Popisek: Ilustrační foto
27 / 11 / 2014, 17:45

28.11.2014 / WebUI zranitelnosti mohou umožnit krádeže administrátorských přihlašovacích údajů a mohou dát hackerům kontrolu nad systémovými funkcemi bezpečnostních bran.

Společnost Check Point® Software Technologies Ltd.  oznámila, že tým bezpečnostních odborníků objevil zranitelnosti v Admin WebUI portálech tří dodavatelů zařízení pro zabezpečení sítí. Hackeři mohou při cílených útocích zneužít tyto zranitelnosti a získat administrátorskou kontrolu nad bezpečnostními bránami výrobců a mohou vystavit síť dalším útokům. V návaznosti na nedávno objevenou zranitelnost ShellShock mohou nově objevené bezpečnostní slabiny WebUI ještě zvýšit rizika u určitých bezpečnostních dodavatelů.

„Check Point dodržel svou povinnost a odpovědně zveřejnil informace o zranitelnostech a sdílel svá zjištění i s dotyčnými bezpečnostními dodavateli,“ říká Oded Vanunu, manager bezpečnostního týmu společnosti Check Point Software Technologies. „Check Point je odhodlán zajistit bezpečnost všech organizací. A jsme povinni zvýšit povědomí o zranitelnostech, které mohou ovlivnit Admin WebUI portály. Důrazně doporučujeme, aby organizace, které využívají WebUI, ověřily se svými dodavateli, že nejsou odhrožené neošetřenými zranitelnostmi.

Zranitelnosti byly objeveny pomocí kombinace narušení webových stránek Cross-Site Scripting (XSS), útočné techniky Cross-Site Request Forgery (CSRF) a phishingových útoků. Check Point pro zmírnění souvisejících rizik důrazně doporučuje organizacím, které používají bezpečnostní produkty s WebUI portálem, aby implementovaly a dodržovaly následující osvědčené postupy:

  • Použijte dedikovaný webový prohlížeč pro správu WebUI bezpečnostních zařízení. Nepoužívejte tento prohlížeč k otevírání a klikání na odkazy z příchozích e-mailů, bez ohledu na to, jak věrohodné se e-maily zdají být.
  • Použijte dedikovanou správu sítě (fyzickou nebo logickou), která je oddělená od uživatelů místní sítě (LAN).
  • Použijte dedikovaný server, který je připojen pouze k bezpečnostním zařízením a nemá žádné spojení s veřejným internetem. Tento dedikovaný server může být spravován na dálku pomocí terminálového serveru nebo VPN připojení s použitím silné, dvoufaktorové autentizace.

„WebUI představuje riziko různých útoků a náš výzkum ukázal, že 21 z 23 výrobců poskytujících zabezpečení sítí používá WebUI pro správu svých bezpečnostních zařízení,“ dodává Vanunu.

Bezpečnostní tým Check Point Malware and Vulnerability Research Group pravidelně testuje běžně používaný software a pomáhá zajistit bezpečnost uživatelů internetu po celém světě. Pro více informací o dalších průzkumech společnosti Check Point navštivte stránky: //www.checkpoint.com/threatcloud-central/.

Psali jsme také:

Šest let pod dohledem špionážního viru!

DETEKT - nesledují vás tajné služby?

Jak se chránit před hackery na sociálních sítích

Digitální vydírání a krádež identity hrozí polovině populace

 

 

Tagy článku

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Cookies nám pomáhají k Vaší spokojenosti

Tento web používá soubory cookies k poskytování služeb, personalizaci reklam a analýze návštěvnosti.
Používáním tohoto webu s tím souhlasíte.

Další informace