Поделиться
Критическая уязвимость угрожает отечественным NGFW и IPS-решениям
Безопасность отечественных средств защиты информации оказалась под угрозой — в популярном OpenSource-IPS-модуле Suricata обнаружены 3 критические уязвимости (CVE-2а024-23839, CVE-2024-23836, CVE-2024-23837 по международной классификации). Об этом CNews сообщил представитель компании Ideco. Только за 2023 г. в результате «пробелов» в защите в открытый доступ попало более 300 миллионов конфиденциальных документов.
Большинство отечественных средств защиты информации (межсетевые экраны, NGFW и системы обнаружения вторжений) использует Suricata в качестве одного из модулей. Она применяется в решениях Diamond FW, «Континент», Ideco, «ИКС-сервер», TING, очень распространенных МЭ в России, отмечают в компании. Насчитывается более десятка тысяч установок по стране. Обнаруженные уязвимости имеют очень серьезную оценку, и их суть даже не раскрывается в официальных источниках (как всегда происходит первое время, чтобы снизить скорость появления средств эксплуатации уязвимостей злоумышленниками).
По данным исследователей из Ideco, эксплуатация уязвимостей может происходить с помощью специально сформированной злоумышленниками веб-страницы, во время обработки которой в системе будет выполнен произвольный код (с правами модуля IPS в системе). Особенно опасно то, что уязвимы именно пограничные межсетевые экраны — таким образом злоумышленники могут получить бэкдор в локальную сеть и уже ничто не способно будет их остановить. Стоит отметить, что бэкдор используется хакерами в 21% киберпреступлений. Еще более опасно то, что часто для лучшей фильтрации трафика эти же устройства осуществляют расшифровку HTTPS-трафика, потенциально позволяя таким образом хакерам получить доступ к конфиденциальной информации (включая логины и пароли) и дававя возможность подменять трафик (например, данные о получателе денежных переводов).
Еще тяжелее приходится разработчикам, не использующим «чистый» OpenSource-модуль (в новой версии Suricata есть исправления данных уязвимостей), а развивающих собственный форк (собственные разработки на основе взятого в прошлом кода модуля) — в таком случае исправление ошибок может занять гораздо больше времени, при этом эксплуатация уязвимости может быть возможна, хотя и иногда с неочевидным вектором атаки. Проблема может возникнуть у тех, кто использует необновленные коммерческие продукты. Согласно статистике, которую приводит Ideco, более 75% компаний не обновляют ПО вовремя, что влечет серьезные инциденты, связанные со взломом.
Пока ни один из отечественных вендоров, кроме Ideco, не выпустил «заплатки», исправляющих данные уязвимости, утверждают в компании, но и на «темной стороне» даркнета не появились эксплойты для эксплуатации уязвимостей, однако Zero-day уже близок. На данный момент готовых эксплойтов у злоумышленников нет. Возможно, в будущем появятся настройки, способные сократить вектор атак.
Сейчас в последней версии Suricata обнаруженные уязвимости устранены. Однако, чтобы максимально защитить конфиденциальную информацию вашей компании, стоит проверить наличие новых версий всех систем безопасности.
Короткая ссылка
