С уведомление от 16.03.2016 Alert (TA17-075A), US-CERT ( United States – Computer Emergency Readiness Team) предупреждава корпорациите в Щатите за възможен проблем с фирмената сигурност, свързан с програми, използващи HTTPS Interception.
Според изготвения доклад Всички системи, използващи HTTPS ( hypertext transfer protocol secure) Interception е възможно да бъдат засегнати.
HTTPS проверката е метод, чрез който програмите за сигурност изготвят man in the middle proxy за HTTPS трафика. Проксито стои между клиента и сървъра, като инспектира трафика между двете точки за зловредни данни и възстановяване на връзката помежду им.
Случаят с HTTPS Interception
Проблемът е възникнал, поради причината, че множество от програмите за сигурност, включително Файъруоли и Антивирусни програми, не успяват да възстановят SSL връзката до нивото, договорено между клиента и сървъра.
HTTPS проверката работи по следния начин: Проследява и прихваща HTTPS трафика, като също така извършва MiMT атаки на връзката. Чрез MiMT атаките, важна клиентска информация, може да бъде пренасочена към трето лице/сървър.
Съобщението от CERT беше изготвено, след като екип от експерти по информационна сигурност публикуват своето изследване The Security Impact of HTTPS Interception.
Според екипа 62% от HTTPS връзките са с „намалена сигурност“, а 58% – със засилена уязвимост. Те също така допълват, че са изследвали множество антивирусни програми и корпоративни проксита, заключвайки, че почти всички редуцират установената сигурна връзка, а множество от тях представят и уязвимост (например: „fail to validate certificates„).
Какво можем да направим?
Компаниите, които искат да тестват дали HTTPS инструментите им влият неблагоприятно на корпоративната сигурност, могат да използват BadSSL service.
Уил Дорман от US-CERT е публикувал списък на програми, които извършват HTTPS Interception и е възможно да са засегнати:
- A10 vThunder
- Arbor Networks Pravail
- Baracuda Web Filter
- BASCOM School Web Filter
- Bloxx Web Filter
- Blue Coat SSL Visibility Appliance
- Check Point Data Loss Prevention (DLP), Anti Virus, Anti-Bot, Application Control, URL Filtering, Threat Emulation and IPS.
- Cisco ScanCenter
- Citrix NetScaler AppFirewall
- Clearswift SECURE Web Gateway
- ContentKeeper
- Cymphonix Internet Management Suite
- Dell SonicWALL
- EdgeWave iPrism Web Security
- ESET Smart Security
- F5 BIG-IP
- Fortinet FortiGate
- Fidelis Security XPS
- Finjan Vital Security
- GFI WebMonitor
- GigaMon GigaSmart
- IBM Security Network Protection
- iboss Web Security
- iSHERIFF Cloud Security
- Juniper IDP devices
- Kaspersky Anti-Virus
- Komodia SSL Decoder
- M86 Secure Web Gatewayr
- McAfee Web Gateway and Firewall Enterpriser
- Microsoft Forefront TMG
- NetNanny
- NextGig Netronome
- Optenet WebFilter
- Palo Alto PAN-OS
- Panda Cloud Internet Protection
- PrivDog
- Radware AppXcel
- SafeNet eSafe Web Security Gateway
- Sangfor IAM
- Smoothwall Secure Web Gateway
- Sophos Cyberoam
- Sourcefire SSL Appliance
- Squid
- Symantec Web Gateway
- Thomason Technologies Next Gen IPS
- Trend Micro Deep Security
- Trustwave WebMarshal, Secure Web Gateway
- Untangle NG Firewall
- Venafi TrustAuthority
- VSS Monitoring vInspector
- WatchGuard HTTPS Proxy
- Wavecrest CyBlock
- WebSense Content Gateway
- WebTitan
- Qbik WinGate
- WolfSSL SSL Inspection
- Zscaler
- ZyXel Firewall