Поделиться
Эксперт Positive Technologies помог устранить уязвимость в межсетевом экране UserGate NGFW
Эксперт PT SWARM Владимир Власов обнаружил дефект безопасности в межсетевом экране нового поколения (NGFW) российского разработчика ПО и электроники UserGate. Проэксплуатировав уязвимость и взломав другие ресурсы компании, атакующий мог бы нарушить работу UserGate NGFW, похитить персональные данные сотрудников либо развить атаку в локальной сети. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Об этом CNews сообщили представители Positive Technologies.
Уязвимость PT-2025-28938 (BDU:2025-08181) содержалась сразу в двух линейках UserGate NGFW — в версиях до 6.1.9.12193R и 7.3.1.153682R включительно. Дефект безопасности, получивший 6,5 балла из 10 по шкале CVSS 3.1, возник из-за недостаточной фильтрации данных на служебной странице блокировки, на которую перенаправляются пользователи после отказа в доступе к тому или иному URL-адресу. В совокупности с другими уязвимостями брешь потенциально открывала злоумышленнику доступ к персональным данным сотрудников и информации, содержащей коммерческую тайну компании.
Межсетевые экраны нового поколения используются организациями в качестве шлюза для безопасного доступа сотрудников в интернет. В 2024 г, решение UserGate, по данным Центра стратегических разработок (ЦСР), занимало почти четверть российского рынка NGFW. В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies установили, что уязвимость в UserGate NGFW потенциально затронула более 1,8 тыс. компаний. Наибольшее их число находится в России (97%), в зоне риска также могли оказаться организации из Белоруссии (1%), Израиля (0,5%), Узбекистана (0,3%) и США (0,2%).
Для устранения ошибки необходимо загрузить исправленную версию UserGate NGFW (начиная с 6.1.9.12198R или 7.3.2.183745R). Если обновить ПО невозможно, эксперт Positive Technologies рекомендует отключить страницу блокировки или вывести ее на отдельный домен, не связанный с основным.
Эксплуатируя ошибку, нарушитель, предположительно, использовал бы почту или мессенджер, чтобы направить сотруднику атакуемой компании письмо со ссылкой на якобы безопасный ресурс. Злоумышленник действовал бы под видом коллеги жертвы, чтобы та не заметила подвоха.
Перейдя по ссылке в сообщении, пользователь с правами администратора UserGate NGFW, авторизованный на уязвимом устройстве, автоматически выполнил бы вредоносный код, что позволило бы атакующему изменить параметры межсетевого экрана: удалить правила фильтрации трафика и открыть доступ к заблокированным ресурсам, чтобы проникнуть в сеть компании и выгрузить ценные данные; заменить адреса корпоративных страниц ссылками на фишинговые ресурсы, чтобы похищать учетные записи сотрудников; создать дополнительную учетную запись администратора, чтобы закрепиться на UserGate NGFW и атаковать любые сервисы компании.
«Проэксплуатировав BDU:2025-08181 и совершив успешную атаку, злоумышленник гипотетически получал возможность отправлять запросы от имени жертвы к внутренним сервисам компании, таким как корпоративная почта и база знаний. Это могло бы обернуться утечкой информации, содержащей коммерческую тайну, — сказал Владимир Власов, старший специалист отдела исследований безопасности банковских систем, Positive Technologies. — Если бы нарушитель сумел закрепиться во внутренней сети организации, под угрозой могли бы оказаться ее бизнес-процессы».
Это не первый дефект безопасности, связанный с работой NGFW, который помогла устранить Positive Technologies. В 2021 г. эксперты Никита Абрамов и Михаил Ключников совместно с разработчиком закрыли уязвимость в диспетчере устройств Cisco Firepower Device Manager (FDM) On-Box, предназначенном для локальной настройки межсетевых экранов Cisco Firepower. Ошибка могла бы позволить злоумышленнику выполнить произвольный код в системе пораженного устройства. В 2020 г. те же исследователи помогли исправить недостаток в операционной системе PAN-OS, используемой NGFW Palo Alto Networks. Брешь могла бы позволить атакующему выполнять произвольные команды в ОС межсетевого экрана, а затем получить максимальные привилегии.
«„Группа Позитив“ уведомила нас об уязвимости, и специалисты центра мониторинга и реагирования UserGate uFactor оперативно выпустили обновление и произвели оповещение клиентов компании. При этом, учитывая особенности найденной уязвимости и трудность ее реализации, вероятность эксплуатации вне лабораторных условий равна нулю. Это подтверждается информацией, размещенной на ресурсе БДУ ФСТЭК. Согласно БДУ ФСТЭК уязвимость была сразу устранена, фактов ее использования не обнаружено», — заявили CNews в пресс-службе UserGate.
Короткая ссылка
