VMware — один из признанных лидеров в области технологий виртуализации. Однако так ли уж надёжны все решения этой компании? Группа хакеров Citadelo даёт отрицательный ответ. Некоторые инструменты VMWare на удивление легко поддаются взлому, как это случилось с vCloud Director.

vCloud Director — средство развёртывания облачных систем и управления ими. Оно используется как провайдерами публичных облачных услуг, так и компаниями, создающими «приватные» облака. Взлом такого облака может принести массу ценной для хакера информации. Уязвимость CVE-2020-3956 была закрыта патчем в середине мая, однако прошло не так много времени, чтобы обновление успели произвести все, кто пользуется этим инструментарием.

Сам взлом позволяет получить доступ к внутренней базе данных, включая хеши паролей, повысить уровень привилегий с администратора организации (organization administrator) до практически всесильного администратора всей системы управления (system administrator). Возможна даже модификация страницы входа в vCloud Director для дальнейшего перехвата паролей и другой вводимой пользователями секретной информации.

Как выяснили Томаш Мелихер и Лукаш Вацлавик (Tomáš Melicher and Lukáš Václavík), механика довольно простая. При попытке подставить значение «${7*7}» вместо имени хоста SMTP-сервера в запросе из панели управления vCloud Director они получили следующий ответ системы: «String value has invalid format, value: [49]». Конструкция «${ }» приводит к выполнению её содержимого на стороне сервера, в данном случае это код на Java. 

К счастью, группа Citadelo относится к так называемому «этическому» подвиду хакеров. Ничего вредоносного исследователи не сделали, напротив, они сообщили об этой ситуации VMware, которая 19 мая опубликовала эту информацию вместе с закрывающим уязвимость патчем. Однако пример кода для взлома был также опубликован Citadelo, поэтому тем, кто ещё не воспользовался вышеупомянутым патчем, имеет смысл сделать это как можно скорее.

Последнее время малому и среднему бизнесу приходится не сладко: пандемия, падение спроса, как следствие, сокращение ИТ бюджетов. В это непростое время Zyxel выпустила новые межсетевые экраны с гибкой моделью лицензирования, которые помогут не только экономить, но и защитить локальную сеть от угроз.

В новую линейку межсетевых экранов вошли три модели: USG FLEX 100/200/500.

По заявлениями производителя, в сравнении с предыдущим поколением производительность увеличилась на 125% и до 500% выросла производительность унифицированной защиты от угроз (Unified Threat Management, UTM). За счет чего же получилось в разы увеличить производительность межсетевых экранов? Кроме обновления аппаратной составляющей, в новых моделях UTM используется облако Zyxel Security Cloud, в котором собирается информация об угрозах из различных источников.

Межсетевые экраны USG FLEX в режиме Cloud Query Express используют облачную базу сигнатур, что позволяет значительно снизить нагрузку на клиентское оборудование и быстрее выявить угрозу. Технические характеристики межсетевых экранов представлены ниже:

Zyxel предлагает гибкие опции подписки, которые позволяют использовать только те лицензии, которые необходимы конкретному предприятию, не переплачивая за весь пакет целиком.

В расширенную подписку входят лицензии на Unified Threat Management, которые добавляют следующие функции:

• Web Filtering: Блокирование доступа к опасным и подозрительным web-сайтам;
• IPS (IDP): Проверка пакетов на наличие вредоносного кода;
• Application Patrol: Автоматическая классификация приложений и регулирование использования ими сетевых ресурсов;
• Anti-Malware: Сканирование файлов на наличие вредоносного кода и других угроз в шлюзе или облаке;
• Email Security: Обнаружение и блокировка спама/фишинга в электронной почте;
• SecuReporter: Интеллектуальная аналитика и отчеты.

Не забыли в Zyxel и про гостиницы, кафе и рестораны с общедоступным Wi-Fi – специально для них есть отдельная лицензия на функции:

• Managed AP Service: Автоматическое обнаружение точек доступа и распределение их ресурсов;
• Hotspot Management: Различные функции управления доступом к сети;
• Concurrent device: Увеличение максимального допустимого числа авторизированных пользователей.

Перечень функций в предлагаемых лицензиях достаточно обширный и может закрыть практически все потребности малого и среднего бизнеса по сетевой безопасности.

Уязвимости Spectre и Meltdown в своё время доставили немало беспокойства специалистам по ИТ-безопасности. Программные заплатки появились довольно быстро, но в некоторых случаях приводили к серьёзному падению производительности.

Сейчас, на волне роста популярности архитектуры ARM в ЦОД и серверных, разработчики Google всерьёз обеспокоены тем, что ряд 64-битных платформ ARM не имеет защиты от Spectre V2.

Ещё зимой 2018 года Google опубликовала описание новой техники защиты в своём блоге, посвящённом ИТ-безопасности. Этот способ получил название Retpoline, он требовал перекомпиляции ПО с заменой уязвимых последовательностей машинного кода, но не оказывал серьёзного влияния на производительность системы.

Изначально Retpoline разрабатывалась для архитектур x86, однако с тех пор многое изменилось — хотя x86 всё ещё является доминирующей серверной архитектурой, но популярность серверов на базе ARM с тех пор серьёзно выросла. Google оценивает возможность переноса этого метода на процессоры ARM, но имеются и опасения.

Дело в том, что ряд платформ AArch64 (ARM 64 бит) не имеют поддержки со стороны firmware для защиты от Spectre V2 (на основе неверного предсказания косвенных переходов). Подозревается, что данный метод может позволить атаку на цели косвенного ветвления (targets of indirect branches) со стороны кода, находящегося в пользовательском пространстве (userspace code). В настоящее время в рамках инициативы Safeside специалисты Google исследуют возможность использования предикторов стека возврата (return stack predictors) в процессорах ARM64 для реализации защиты от Spectre V2 даже в том случае, если сам производитель платформы не озаботился выпуском соответствующего патча для микрокода процессора.

Исследователи будут рады проявлению интереса и откликам по поводу подобной техники защиты; особенную ценность представляют отклики сообщества разработчиков компилятора LLVM. У Safeside существует свой репозиторий на GitHub.

Связанные с пандемией COVID-19 ограничения властей на перемещение рабочей силы по всему миру вынудили компании адаптироваться к новым условиям. Немедленным ответом стало внедрение и интеграция облачных сервисов. В особенности облачных инструментов для совместной работы, таких как Microsoft Office 365, Slack и платформы для видеоконференций.

В новом докладе компании McAfee, специализирующейся на кибербезопасности устройств и облака, отмечено, что хакеры сейчас сосредоточились на нарушениях, связанных с использованием облачных учётных записей.

Robertiez / Getty Images

Проанализировав данные об использовании облачных вычислений за январь–апрель 2020 года более чем 30 млн корпоративных пользователей своей платформы мониторинга безопасности MVISION Cloud, компания оценивает рост использования облачных сервисов во всех отраслях в 50 %. Вместе с тем в некоторых отраслях наблюдался гораздо больший рост, например, в обрабатывающей промышленности — на 144 %, в сфере образования — на 114 %.

Особенно высоким был рост применения некоторых инструментов для совместной работы и видеоконференций. Использование Cisco Webex выросло на 600 %, Zoom — на 350 %, Microsoft Teams — на 300% и Slack — на 200 %. Опять же, здесь тоже лидируют производство и сфера образования. Рост распространения облачных сервисов создаёт вместе с тем повышенные риски для безопасности.

Согласно данным McAfee, трафик от неуправляемых устройств к корпоративным облачным учётным записям удвоился. За этот же период число внешних угроз, нацеленных на облачные сервисы, увеличилось на 630 %, причём наибольшее число атак было направлено на платформы для совместной работы.

В своём отчёте McAfee разделила подозрительные попытки входа в систему и получения доступа на две категории: «чрезмерно большое использование из аномального местоположения» и «подозрительно сверхъестественное». В обеих категориях наблюдался похожий рост за анализируемый период. Первая категория предназначена для учёта успешных входов из местоположений, которые не совсем обычны с учётом профиля организации, после чего пользователь получает доступ к большим объёмам данных или выполняет большое количество привилегированных задач.

Ко второй категории относятся входы одним и тем же пользователем из двух географически удалённых мест в течение короткого периода времени. Например, если один и тот же пользователь входит в сервис из одной страны, а затем через несколько минут получает доступ к сервису, используя IP-адрес в другой стране.

Наибольший рост угроз наблюдался в транспортной индустрии и логистике, достигнув 1350 %. За ними следует сфера образования с ростом угроз в размере 1114 %, правительственные организации — 773 %, производство — 679 %, финансовые услуги — 571 % и энергетика — 472 %. В первую десятку источников внешних атак на корпоративные облачные учётные записи по расположению IP-адресов вошли Таиланд, США, Китай, Индия, Бразилия, Россия, Лаос, Мексика, Новая Каледония и Вьетнам. 

Также отмечено, что за последние годы значительно выросло число атак, когда преступники используют списки «утёкших» или похищенных комбинаций имени пользователя и пароля для получения доступа к учётным записям. В докладе, опубликованном в этом году, компания Akamai, занимающаяся вопросами безопасности и доставки контента, сообщила, что за период с декабря 2017 года по ноябрь 2019 года ею было зафиксировано 85,4 млрд атак против организаций по всему миру, использующих неправильное обращение с учётными данными. Из них 473 млн атак было направлено на финансовый сектор.

Чтобы лучше защитить облачные учётные записи своих сотрудников и предотвратить несанкционированный доступ, McAfee рекомендует компаниям внедрить облачные шлюзы безопасности.

Компания ESET объявила о выпуске новой версии программного решения Endpoint Antivirus 7 для Linux, обеспечивающего комплексную защиту корпоративных рабочих станций от киберугроз.

Ключевой особенностью обновлённого ESET Endpoint Antivirus для Linux стала микросервисная архитектура. Благодаря этому продукт работает стабильнее, поскольку компоненты запускаются по мере необходимости, а сбой одного из них не выводит из строя все приложение. За счёт этого сохраняется производительность рабочей станции.

В числе прочих изменений нового решения называются доработанные средства защиты от вредоносного ПО, поддержка облачной технологии обнаружения цифровых угроз LiveGrid и совместимость с консолью централизованного управления продуктами ESET — Security Management Center. Кроме того, в обновлённом Endpoint Antivirus 7 для Linux отсутствует графический интерфейс: пользователи получают только всплывающие уведомления, которые отображаются при обнаружении угрозы и запуске автоматического сканирования съёмного носителя.

Продукт предназначен для защиты данных организации любого масштаба. Более подробную информацию о пакете ESET Endpoint Antivirus для Linux можно получить на сайте esetnod32.ru/business/products/linux.

В последнее время всё чаще слышно о различных сетевых атаках: на RDP, разработчиков методов борьбы с коронавирусом и даже на суперкомпьютеры.

Израильские учёные из Тель-Авивского университета и Междисциплинарного центра в Герцлии опубликовали ещё один метод, позволяющий использовать в качестве атакующего средства DNS-резолверы.

Службы DNS, как известно, используются в сетях для получения информации о доменах, например, для получения IP-адреса по имени хост-системы. Однако согласно опубликованному исследованию, именно DNS-резолверы можно использовать и в качестве так называемых «усилителей трафика»: на каждый отправленный запрос резолвер может отправить в сторону системы-жертвы до 1621 запроса. В пересчёте на трафик коэффициент усиления может достигать 163.

Проблема лежит в особенностях функционирования самого протокола и затрагивает все серверы DNS, поддерживающие рекурсивную обработку запросов:

• BIND (CVE-2020-8616, исправлено в 9.11.19, 9.14.2 и 9.16.3);
• Knot (CVE-2020-12667, исправлено в 5.1.1);
• PowerDNS (CVE-2020-10995, исправлено в 4.1.16, 4.2.2 и 4.3.1);
• Windows DNS Server;
• Unbound (CVE-2020-12662, исправлено в 1.10.1).

Угрозу могли представлять и публичные DNS-службы ICANN, Google, Cloudflare, Amazon, Oracle (DYN), Verisign и Quad9. Они, к счастью, уже избавились от этой проблемы. 

Основана атака NXNSAttack на использовании запросов, ссылающихся на фиктивные NS-записи, но без указания glue-записей с данными об IP-адресах. Если упоминаемый NS-сервер не встречался ранее, и его IP не указан, резолвер пытается определить адрес, запрашивая DNS-сервер жертвы, обслуживающий целевой домен (victim.com на приведённой диаграмме).

Атакующий способен выдать список не повторяющихся случайных NS-записей с несуществующими именами поддоменов для серверов. Резолвер будет безуспешно пытаться получить от них ответ и переберёт все перечисленные атакующей стороной записи, а от потока запросов, разумеется, пострадает DNS-сервер жертвы.

Интересно, что «степень усиления» различна для разных служб: для Google и OpenDNS это 30 раз и 32 раза соответственно. Не так уж много на фоне Norton ConnectSafe, у которого это целых 569 раз.

Исследователи предлагают и стратегии защиты. Для систем с DNSSEC это использование стандарта RFC-8198, не позволяющее обходить кеш DNS. Более простой способ заключается в ограничении числа имён, определяемых при обработке одного делегированного запроса.

Подробная информация содержится в опубликованном израильскими специалистами документе. Для защиты предлагается либо ограничить длину списка для обхода в рамках одного запроса, либо воспользоваться RFC-8198 при наличии DNSSEC.

Работающая в сфере информационной безопасности (ИБ) компания «Ростелеком-Solar» запустила услугу Red Teaming, в рамках которой осуществляется имитация кибератак на IT-инфраструктуру заказчика с последующим анализом эффективности используемых средств защиты.

В ходе Red Teaming специалисты «Ростелеком-Солар» применяют специальные методики, используемые злоумышленниками при APT-атаках, а также собственные наработки, создаваемые «с нуля» под конкретные задачи заказчика. Работы могут проводиться как на существующей IT-инфраструктуре клиента, так и на копирующем её тестовом полигоне.

Источник фото: Shutterstock

Услуга Red Teaming позволяет проверить фактическую готовность организаций к отражению атак и может быть востребованной среди крупных компаний (банков, предприятий ТЭК, госструктур и других), которые представляют интерес для больших хакерских группировок.

«В отличие от классического тестирования на проникновение (пентеста), который нацелен только на выявление уязвимостей, цель Red Teaming — проверка подготовленности службы ИБ заказчика к реальной кибератаке. Команда атакующих в этом случае имеет больший временной запас и не ограничена в средствах достижения цели, что позволяет ей максимально точно имитировать действия злоумышленника», — говорится в сообщении компании «Ростелеком-Солар».

Компания ESET сообщила о получении положительного заключения Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на защитный комплекс NOD32 Secure Enterprise Pack версии 6.

Выданный ведомством сертификат допускает использование продукта для защиты информационных систем персональных данных (ИСПДн) до класса К1 и конфиденциальной информации в автоматизированных системах (АС) до класса 1Г в части построения антивирусных систем любого масштаба.

Сертификат распространяется на следующие компоненты решения: средство для защиты рабочих станций Endpoint Antivirus 7.1, файловых серверов File Security for Microsoft Windows Server 7.1 и почтовых серверов Mail Security for Microsoft Exchange Server 7.1, а также на инструментарий централизованного управления Remote Administrator 6.5.

Сертификат соответствия ФСТЭК России действителен до 4 февраля 2025 года. Дополнительные сведения о программном решении можно найти на сайте esetnod32.ru/business/certified/sep.

Уровень защиты современных корпоративных интернет-систем от хакерских атак по-прежнему остаётся крайне низким и оставляет желать лучшего. Об этом свидетельствует исследование компании «Ростелеком-Солар», проанализировавшей защищённость веб-приложений организаций государственного и банковского сектора, сферы производства, информационных технологий, IT-безопасности и других.

Проведённая специалистами «Ростелеком-Солар» экспертиза показала, что около 70 % исследованных приложений содержат критические уязвимости, которые позволяют киберпреступникам получить доступ к конфиденциальным данным предприятий и пользователей, а также совершать в уязвимых онлайн-сервисах различные операции.

В частности, выяснилось, что почти 70 % веб-приложений оказались подвержены IDOR-уязвимостям (Insecure Direct Object References — небезопасные прямые ссылки на объекты). Более 50 % веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что даёт киберпреступникам возможность провести атаки типа XSS (Cross-Site Scripting — межсайтовое выполнение сценариев). Ещё 30 % уязвимостей связаны с возможностью удалённого внедрения SQL-кода.

С полной версией исследования «Ростелеком-Солар» можно ознакомиться по адресу rt-solar.ru.

В 2020 году в Калифорнии вступил в силу новый закон, который имеет глобальные последствия для ИТ-экосистем. В первую очередь закон касается устройств, которые могут быть подключены к сети, теперь они должны обладать достаточной безопасностью по умолчанию.

Другими словами, время классических логинов/паролей ADMIN/ADMIN на серверах Supermicro или root/calvin для Dell окончательно ушло.

В 2018 году Калифорния приняла законопроект номер 327 (SB327), который, в частности, устанавливает новые требования для подключенных устройств, к которым возможен доступ не только из локальной сети. Они сводятся к двум основным правилам: а) заводской пароль должен быть уникальным для каждого изготовленного устройства; б) при первом использовании устройство должно требовать смены заводского пароля на пользовательский перед тем, как будут доступны все остальные фукнции.   Естественно, что производители серверного и сетевого оборудования не будут делать отдельную серии для Калифорнии, а распространят ее на все выпускаемые устройства.

Большинство поставщиков серверов уже выполняют первый пункт, генерируя случайные пароли для каждого экземпляра устройства. Некоторые производители давно по собственной инициативе придерживаются данной практики. Например, на серверах HPE уникальные пароли для iLO есть в нескольких последних поколениях.

На серверах для этого часто используется специальный пластиковый ярлык, спрятанный на передней панели, на котором напечатана вся необходимая информация. Шрифт используется достаточно мелкий, поэтому у некоторых пользователей может возникнуть проблема со считыванием пароля, особенно если серверная плохо освещена. 

Как всегда, больше всего проблем будет в переходный период, т.к. многие пользователи будут помещать оборудование в стойку, надеясь потом зайти на него, используя стандартные логин и пароль, однако они не подойдут и придется снова идти в серверную, фотографировать ярлык с паролем на каждом сервере и коммутаторе, чтобы иметь возможность подключиться к ним удалённо.

Определенно, использование уникальных паролей для серверов и сетевых устройств это большой шаг вперед в плане безопасности, т.к. многие пользователи не меняют эти пароли, оставляя таким образом огромную брешь в безопасности своей инфраструктуры, однако у любой медали две стороны и ради безопасности придется пожертвовать некоторым удобством ввода в эксплуатацию новых систем.