Nul
Uit een studie gepubliceerd in de laatste maand toont aan dat ondanks jaren de moeite waard van het onderzoek naar de treurige staat van het netwerkverkeer inspectie apparatuur, leveranciers zijn nog steeds problemen in de verzending van apparaten die niet onherroepelijk breken TLS encryptie voor de eindgebruiker.
Versleutelde verkeer inspectie-apparaten (ook bekend als middleware), ofwel speciale geavanceerde hardware of software, zijn gebruikt in bedrijfsnetwerken voor meer dan twee decennia.
Systeembeheerders implementeren van dergelijke toestellen te maken van een man-in-the-middle-TLS-proxy die naar binnen gekeken kan worden versleutelde HTTPS-verkeer, om het scannen op malware of phishing links of om te voldoen aan de wetgeving of de nationale veiligheid eisen.
Ook: Waarom 31% van de inbreuken leiden tot werknemers ontslagen TechRepublic
Al deze apparaten werken op dezelfde manier, het creëren van een TLS-server op het interne netwerk en een TLS-client aan het externe netwerk door. De TLS-server ontvangt het verkeer van de gebruiker, decodeert de verbinding, maakt het mogelijk het apparaat te inspecteren, het verkeer, en vervolgens opnieuw te coderen en relais die de verbinding naar de doel server door het nabootsen van de browser via de eigen TLS-client.
Voor vele jaren, dit is niet een probleem, vooral omdat in het begin, HTTPS-verbindingen waren eenvoudig in te stellen. Maar als de technologieën ondersteunen van TLS verkeer worden meer en meer complex, werd het ook moeilijker voor leveranciers ondersteuning voor alle soorten verbindingen, zonder per ongeluk of opzettelijk downgraden HTTPS-encryptie.
In het laatste decennium, veiligheid onderzoekers hebben gekeken naar het probleem van TLS inspectie apparatuur die breken of downgraden encryptie. Er is veel onderzoek gedaan naar het onderwerp van onderzoek teams van over de hele wereld [1, 2, 3, 4, 5].
Maar ondanks dat jaar ter waarde van waarschuwingen en onderzoek, dat sommige leveranciers nog steeds niet bij het houden van de juiste beveiligingsniveau van een TLS-verbinding bij het doorgeven van verkeer door middel van hun apparatuur/software.
Academisch onderzoek wordt gepubliceerd op het einde van September door drie onderzoekers van de Concordia Universiteit in Montreal, Canada, toont aan dat het netwerkverkeer inspectie toestellen nog break-TLS beveiliging, zelfs vandaag de dag.
Het onderzoeksteam keek op 17 versies van 13 TLS-netwerk apparaten tussen juli 2017 en Maart 2018, inclusief open source, gratis, low-end en high-end TLS middleware apparaten.
Getest TLS middleware apparaten
Om dit te doen, het onderzoek trio gemaakt van een uitgebreid kader dat kon analyseren de TLS-gerelateerde gedragingen van de appliance-based proxy ‘ s en hun mogelijke kwetsbaarheden.
Onderzoekers keken naar TLS versie en certificaat parameter mapping, cipher suites, de private key te genereren en de bescherming, de inhoud van de root-CA, bekend TLS-aanvallen, en de 32-certificaat validatie tests.
Ook: KRACK aanval: Hier is hoe bedrijven reageren CNET
De studie was meer dan vruchtbaar, het vinden van verschillende problemen met bijna alle apparaten. De bevindingen waren als volgt:
WebTitan, UserGate, en Comodo niet uitvoeren van een certificaat te valideren. Deze apparaten mogen alle defecte TLS-certificaten, onderzoekers gezegd.Comodo en Endian niet uitvoeren van het certificaat te valideren in de standaard instellingen, omdat een selectievakje voor het accepteren van alle certificaten is standaard ingeschakeld in de configuratie. Onderzoekers zei dat zelfs na een vinkje in de box, Comodo nog steeds niet in geslaagd om te presteren certificering, validatie, acceptatie van alle upstream-certificaten.Cacheguard geaccepteerd zelf-ondertekende certificaten, waardoor dood-eenvoudige MITM-aanvallen.Trend Micro, McAfee, en Cacheguard gebruik pre-generated keypairs, waardoor een soortgelijke dood-eenvoudige MITM-aanval.McAfee staten in de documentatie die het genereert een persoonlijke sleutel tijdens de installatie, maar de onderzoekers vonden het apparaat voor het gebruik van een pre-gegenereerde sleutel in de plaats.Vier toestellen –UserGate, WebTitan, Microsoft, en Comodo– accepteren hun eigen certificaten voor extern geleverde content. Als een aanvaller toegang kan krijgen tot de private sleutels van dergelijke apparatuur, kan hij/zij starten een MITM aanval om de identiteit van een web server. Onderzoekers zeiden dat de private sleutels zijn opgeslagen op de apparatuur bevinden en gemakkelijk toegankelijk zijn als een andere kwetsbaarheid kan een aanvaller om gegevens te lezen van de TLS-middleware. Niet-root gebruikers op UserGate, WebTitan, en Comodo kunnen lezen van de private sleutel, terwijl admin rechten nodig zijn voor het ophalen van de sleutel op de Microsoft-apparaten.Alle apparatuur behalve Ontwarren en McAfee aanvaarden certificaten die zijn ondertekend met het MD5 algoritme.WebTitan, Microsoft, UserGate, Cisco, en Comodo nog accepteren MD4.Aanvallers kunnen breken sessie vertrouwelijkheid voor klanten achter Sophos, Cacheguard, OpenSense, Comodo en Endian, als ze accepteren RSA-512 externe blad certificaten (RSA-512 is gemakkelijk meegenomen).Klanten achter te Ontwarren zijn zo ook kwetsbaar voor MITM aanvallen, omdat het apparaat maakt gebruik van de RSA-512 “Root Agentschap” certificaat in de vertrouwde certificaatarchief. De Root Agentschap CA-certificaat is geldig tot en met 2039, en wordt sinds de jaren 1990 als de standaard test-certificaat voor ondertekening van programmacode en ontwikkeling. Windows-systemen nog steeds zijn dit certificaat, maar ze markeren als niet-vertrouwd, hoewel dit niet zou stoppen met een aanval op de TLS-middleware. De RSA-512 private sleutel die hoort bij dit certificaat kan gemakkelijk worden meegenomen onder de vier uur.Aanvallers kunnen gebruik maken van het BEEST aanval te herstellen verificatie cookies van gebruikers achter Microsoft, Cisco, en TrendMicro TLS-middleware.Aanvallers kunnen ook het herstellen van cookies van cliënten achter WebTitan, Microsoft, TrendMicro, Comodo, en Endian als gevolg van het gebruik van RC4.
Het onderzoeksteam zegt het al apparaat gebreken gemeld aan hun respectievelijke leveranciers na twee series van testen in 2017 en 2018. Ondanks de rapporten van de onderzoekers zei de verkoper reacties waren niet wat ze verwacht.
“In totaal de toelichtingen lijken te hebben beperkte invloed op de leveranciers,” aldus het onderzoeksteam. “Veel verkopers negeerde de beveiliging problemen (Ontwarren, Microsoft, UserGate, en pfSense). Meer verontrustend, sommige producten werd zelfs nog erger in de tijd (Cisco), en een aantal gerepareerde product releases introduceerde nieuwe kwetsbaarheden in vergelijking met hun oudere versies (WebTitan).”
Ook de Zorgen ontstaan over de veiligheid van nieuwe WebAuthn protocol
Onvruchtbaar zijn, om te zeggen het minst.
De onderzoekers betogen dat, aangezien TLS middleware werkt als een proxy voor client-naar-server van het web van verbindingen, “ze moet onderhouden (minstens) dezelfde mate van beveiliging als moderne browsers.” Evenzo, als ze zich als een TLS-server voor de web-naar-client interne netwerk verbindingen te maken, ze moeten ook worden “goed geconfigureerd als een up-to-date HTTPS-server.”
Door zich aan deze eenvoudige principes, onderzoekers zeggen middleware apparatuur moet eenvoudig te beheren.
De test framework gebruikt door de Concordia Universiteit bemanning is beschikbaar voor downloaden vanaf hier. Meer details zijn beschikbaar in een research paper getiteld “De slechte Staat van TLS Beveiliging op Enterprise Onderschepping Apparaten.”
VERWANTE ARTIKELEN:
AMERIKAANSE regering rolt uit 2 stappen voor .gov domein ownersWeb hosting providers drie dagen duurt, gemiddeld, om te reageren op misbruik reportsAfter twee decennia van PHP, sites nog steeds gevoelige gegevens via debug modeWhy gratis Vpn ‘ s zijn niet het risico waard takingOver een miljoen kwetsbare vezels routers kan eenvoudig worden gehackt
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters
0