Компания Positive Technologies выпустила новую версию программного комплекса PT Network Attack Discovery (PT NAD), предназначенного для анализа сетевого трафика и расследования инцидентов информационной безопасности. PT NAD захватывает и разбирает сетевой трафик на периметре и в IT-инфраструктуре организации, что позволяет выявлять активность злоумышленника как на самых ранних этапах проникновения в сеть, так и во время попыток закрепиться и развить атаку внутри сети.

Обновлённый PT NAD определяет учётные данные пользователей при аутентификации по протоколу Kerberos, видит больше данных в зашифрованных SSH-сессиях (тип трафика, количество неудачных попыток аутентификации, наличие интерактивных данных в сессии, передача файлов, создание туннелей и др.) и проводит автоматический ретроспективный анализ по всем спискам индикаторов компрометации.

Также в программном комплексе расширен набор определяемых и разбираемых сетевых протоколов. Теперь PT Network Attack Discovery детектирует 80 протоколов (вместо 73 в предыдущей версии). Определение протоколов даёт понимание, в каком объёме и какого рода сетевые соединения устанавливаются внутри корпоративной сети.

Виртуализация очень популярна, поскольку позволяет более полно использовать аппаратные ресурсы. Но использование виртуализации может затруднять поиск вредоносного ПО, могущего «окопаться» в гостевой системе. Компания Bitdefender, разработавшая совместно с проектом Xen технологию интроспекции гипервизора, объявила о том, что делает эту технологию открытой и доступной всем.

Проект стартовал ещё в 2015 году, когда в версии 4.6 популярного открытого гипервизора Xen была впервые представлена библиотека libbdvmi. Если не углубляться в технические подробности, проблема заключается в том, что виртуальные машины не слишком-то дружат с программным обеспечением, ответственным за поиск зловредного кода. Внутри гостевой виртуальной машины такой код, содержащий методы защиты от перехвата и обнаружения может уйти от «преследования», а извне получить доступ к принадлежащей ВМ оперативной памяти не так-то просто.

Однако «гостевая интроспекция» (Hypervisor Introspection, HVI) позволяет это сделать, а значит, и запускать антивирусное ПО «снаружи» ВМ. Представленная проектом Xen libbdvmi позволила делать это без существенных затрат аппаратных ресурсов. В дальнейшем эту технологию коммерциализировали совместно компании Bitdefender и Citrix, разработчик коммерческой версии Xen. Она получила название Bitdefender Hypervisor Introspection. Но в настоящее время наблюдается тенденция к переводу сложных программных проектов в «открытое» состояние, от чего выигрывают все, и в первую очередь конечные пользователи.

Гипервизор не может быть атакован со стороны виртуальной машины, но с помощью HVI с его стороны можно осуществлять инспекцию памяти

Владельцы технологии HVI приняли решение об открытии кода libbdvmi, а кроме того, Bitdefender открыла свой «тонкий гипервизор» Napoca проекту Xen. Сочетание libbdvmi и Napoca, виртуализирующего только ЦП и память, но не прочее «железо», позволяет проводить интроспекцию в системах, не использующих полномасштабных гипервизоров. Как полагает Bitdefender, за счёт открытия кода сочетание вышеупомянутых технологий станет по-настоящему популярным и выйдет за рамки проектов Bitdefender, связанных с ИТ-безопасностью.

Напомним, что в проекте Xen задействовано семь команд разработчиков. С открытием HVI и Napoca к ним, скорее всего, добавится восьмая, занятая внедрением данных технологий. У libbdvmi есть собственный репозиторий, работает технология с версиями Xen от 4.6 и выше.

Исследователи из Eclypsium обнаружили серьезную уязвимость в загрузчике GRUB2, которая может быть использована киберпреступниками для контроля над системами Linux и другими ОС во время процесса загрузки, а также для установки срытых вредоносных загрузчиков-буткитов, которые будут работать даже если включить опцию SecureBoot (Безопасная загрузка).

Уязвимость BootHole оценена в 8.2 по CVSS и затрагивает системы, использующие почти каждую версию GRUB2. Таким образом, практически все дистрибутивы Linux находятся в зоне риска. Если вы думаете, что на этом плохие новости заканчиваются, то вы ошибаетесь: GRUB2 используется для поддержки других операционных систем и гипервизоров, таких как Xen. Проблема касается и Windows, если используется этот загрузчик.

Ожидается, что отдельные патчи и рекомендации будут выпущены в ближайшее время Microsoft, Oracle, Red Hat, Canonical, SuSE, Debian, Citrix, VMware и OEM-производителями.

Используя уязвимость BootHole, злоумышленники могут не только контролировать загрузку операционной системы, но и отключать практически любые средства защиты более высокого уровня. Уязвимость основана на переполнении буфера при работе GRUB2 и позволяет выполнять произвольный код при загрузке. Для этого требуется, чтобы злоумышленник имел повышенные привилегии доступа, чтобы менять содержимое файла конфигуратора загрузчика, вне зависимости от включенного SecureBoot. На практике это не такое уж большое ограничение, так как можно воспользоваться другими уязвимостями ОС.

Eclypsium согласовала ответственное раскрытие этой уязвимости с различными отраслевыми организациями, включая поставщиков ОС, производителей ПК и серверов, о чем она сообщила в своем блоге. Для устранения этой уязвимости производителям придется проделать большую работу по внесению изменений и выпуску патчей. В первую очередь обновления требует список отозванных UEFI-сертификатов dbx, что приведёт к невозможности загрузки старых сборок Linux.

Eclypsium рекомендует ИТ отделам и подразделениям ИБ проверить наличие у них возможностей для мониторинга загрузчиков и встроенного ПО UEFI и протестировать возможность восстановления по мере появления обновлений (включая параметры сброса к заводским настройкам).

UPD: как и ожидалось, выпущенные для GRUB2 обновления вызвали проблемы с их установкой и/или последующей загрузкой ОС. На ошибки жалуются, к примеру, пользователи RHEL и Debian/Ubuntu.

Агентство по кибербезопасности и охраны инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) и Национальный центр кибербезопасности Великобритании (NCSC) выпустили в понедельник предупреждение о риске заражения NAS компании QNAP в случае возобновления атак вредоносных программ QSnatch.

Агентства сообщили, что атаки с использованием вредоносного ПО QSnatch начались в 2014 году, но заметно усилились за последний год. Число отмеченных заражений устройств выросло с 7 тыс. устройств в октябре 2019 года до более 62 тыс. в июне 2020 года: «Первая кампания, вероятно, стартовала в начале 2014 года и продолжалась до середины 2017 года, тогда как вторая началась в конце 2018 года и все ещё была активна в конце 2019 года».

Хотя инфраструктура, использовавшаяся для предыдущих атак QSnatch, в настоящее время не активна, оба агентства настоятельно призывают всех клиентов QNAP как можно скорее обновить прошивку своих сетевых хранилищ с целью блокировки вредоносных программ. По данным CISA и NSCS, приблизительно 7600 зараженных QSnatch устройств находятся в США, и около 3900 — в Великобритании.

Последняя версия QSnatch поставляется с расширенным набором функций, который включает такие модули, как:

• Регистратор паролей — устанавливает поддельную версию страницы входа администратора устройства, регистрируя успешные проверки подлинности и передавая их на настоящую страницу входа.
• SSH-бэкдор позволяет выполнять произвольный код на устройстве.
• Выгрузка данных — при запуске QSnatch крадёт заранее определённый список файлов, который включает системные конфигурации и файлы журналов. Они зашифрованы общим ключом и отправляются в их инфраструктуру по протоколу HTTPS.
• Web-shell для удалённого доступа.

Следует отметить, что злоумышленники могут использовать уязвимости во встроенном программном обеспечении QNAP или пароли по умолчанию для учётной записи администратора.

Компания «ИнфоТеКС», занимающаяся разработкой VPN-решений и средств криптографической защиты данных, сообщила о получении положительного заключения Федеральной службы безопасности Российской Федерации на программно-аппаратный комплекс ViPNet Coordinator KB 4.

ViPNet Coordinator KB представляет собой шлюз безопасности, предназначенный для организации защищённых каналов связи по классу КВ.

Выданный ФСБ России сертификат удостоверяет, что ViPNet Coordinator KB 4 соответствует требованиям к устройствам типа межсетевые экраны 4 класса защищённости. Решение может применяться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти РФ.

Модельный ряд ViPNet Coordinator KB 4 представлен в четырёх исполнениях — KB100, KB1000, KB2000 и KB5000. Устройства обеспечивают шифрование трафика на сетевом (L3) и канальном уровнях (L2) на скорости до 4,5 Гбит/с, поддерживают различные варианты построения защищённых VPN-каналов связи и возможность создания кластера горячего резервирования (кроме исполнения KB100), допускают экстренное удаление ключевой информации по нажатию специальной аппаратной кнопки, оснащены защитой от вскрытия корпуса и недоверенной загрузки;

Дополнительные сведения о продукте опубликованы на сайте infotecs.ru.

Как правило, если речь идёт о «закладках», имеется в виду программная часть — от системной прошивки и BIOS до высокоуровневого ПО. Но программное обеспечение виновато не всегда. Возможность присутствия аппаратных «жучков» уже обсуждалась в прошлом году в связи с Supermicro. Теперь же обнаружены нелегальные версии некоторых сетевых коммутаторов Cisco Systems.

У оригинального коммутатора Cisco надписи сделаны бледно-серым (справа)

Само имя Cisco в представлениях не нуждается: это один из самых известных производителей и поставщиков сетевого оборудования. Вокруг Cisco даже сложился своеобразный культ среди ИТ-специалистов. Как выяснила F-Secure Consulting, этим могут пользоваться злоумышленники, предлагая «поддельные» устройства со знакомым логотипом. Речь идёт о коммутаторах Cisco Catalyst 2960-X. Эти устройства уже не новы и не блещут запредельными скоростями, но в ряде случаев их возможностей всё ещё достаточно.

Чипированный коммутатор, случай А

Пока зафиксировано лишь два случая, в обоих речь идёт о модели WS-2960X-48TS-LV05, полученной якобы от проверенного поставщика, гарантирующего подлинность продукции. Выявить «нестандартность» коммутаторов удалось благодаря обновлению системного ПО, которое привело к их неработоспособности.

Внешне устройства мало чем отличались от оригинальных, хотя при пристальном изучении разницу и можно было заметить, как указано в отчете F-Secure. К счастью, никаких «бэкдоров» в конструкции поддельных коммутаторов найдено не было, однако вполне возможно, что это своеобразный «пробный шар» со стороны злоумышленников.

В этот раз программное обеспечение помогло выявить подделку

Внутри устройств обнаружились следы ремонта и модификации; в частности, очевидно, что чипы флеш-памяти, хранящие прошивку, были заменены. Это могло произойти и в рамках обычного ремонта, однако никаких официальных данных об этой процедуре найти не удалось.

Внутри одного из коммутаторов обнаружилась крошечная дополнительная платка, содержащая чип I2C EEPROM ёмкостью 512 Кбит. Она соединялась с основной системой посредством дополнительных проводов — примерно так же «чипируются» игровые консоли. Второе устройство также содержало дополнительный EEPROM, однако в этом случае дополнение было выполнено намного более профессионально.

Оригинал (справа) и подделка, случай B. Видны отличия в разводке и качестве шелкографии

После обновления ПО устройства отказались проходить аутентификацию, что и привело к их обнаружению. Разумеется, самой Cisco крайне не понравился сам факт появления на рынке такой продукции, поскольку он ставит под удар имя и репутацию компании, о чём она и заявила. Полный отчёт об исследовании поддельных коммутаторов Cisco можно скачать с сайта F-Secure, он содержит подробный разбор с массой технических деталей.

Компания Acronis, занимающаяся созданием решений для защиты, резервного копирования и аварийного восстановления данных, сообщила о приобретении разработчика программного обеспечения DeviceLock.

Условия сделки не разглашаются. В рамках соглашения DeviceLock станет дочерней компанией Acronis.

DeviceLock ведёт деятельность с 1996 года. Флагманским продуктом компании является программный комплекс DeviceLock DLP, предназначенный для предотвращения утечек данных в корпоративных сетях.

DeviceLock DLP предотвращает утечки информации, используя полный набор механизмов контекстного контроля операций с данными, а также технологии их контентной фильтрации. Ключевым элементом комплекса является легковесный исполнительный агент, устанавливаемый на каждом контролируемом компьютере. Централизованное управление агентами осуществляется с консоли в виде специализированной MMC-оснастки, встраиваемой в редактор групповых политик домена Active Directory, что позволяет управлять DLP-политиками в организациях любого размера и типа.

В настоящее время программный комплекс DeviceLock DLP защищает более 4 миллионов рабочих станций по всему миру в информационных системах 5 тысяч организаций кредитно-финансового, энергетического, оборонного и государственного секторов, а также телекоммуникационных провайдеров, учреждений здравоохранения и образования.

Поглощение DeviceLock позволит Acronis расширить экспертизу в сфере защиты корпоративных рабочих станций. Компания произведёт интеграцию технологических DLP-решений DeviceLock в свою платформу Acronis Cyber Platform, сделав новые услуги доступными через портал облачных решений Acronis Cyber Cloud Solutions.

«Интегрируя полнофункциональный DLP-комплекс DeviceLock, Acronis предложит клиентам и партнёрам наиболее простой способ обеспечения эффективной и доступной защиты от утечек данных с корпоративных компьютеров под управлением Windows и macOS, а также виртуализированных рабочих сред и приложений Windows, реализуя интегрированную методику «пяти векторов киберзащиты» SAPAS — безопасности (Safety), доступности (Accessibility), конфиденциальности (Privacy), подлинности (Authenticity) и защиты данных, приложений и систем (Security)», — говорится в заявлении Acronis.

Компания Google представила на мероприятии Google Cloud Next '20 OnAir, прошедшем в цифровом формате, новый тип виртуальной машины Confidential VMs (cVMs), построенной на основе технологии шифрования Secure Encryption Virtualization (SEV) компании AMD. Эта функция доступна в процессорах EPYC второго поколения.

Решение Confidential VMs является первым продуктом в портфолио Confidential Computing (конфиденциальные вычисления) компании Google. А Google стала первым облачным провайдером, предложившим виртуальные машины с поддержкой SEV. «С выпуском бета-версии Confidential VMs мы стали первым крупным облачным провайдером, предложившим такой уровень безопасности и изоляции, предоставляя заказчикам простой, простой в использовании вариант как для новых приложений, так и для приложений „lift-and-shift“», — сообщила Google Cloud в своём блоге.

По словам компании, данный подход обеспечивает:

• Принципиально более высокую конфиденциальность: теперь клиенты могут защищать конфиденциальность своих наиболее секретных данных в облаке, даже когда они обрабатываются.
• Расширенные инновации: Confidential Computing могут разблокировать вычислительные сценарии, которые ранее были невозможны. Теперь организации смогут обмениваться наборами секретных данных и совместно работать над исследованиями в облаке, сохраняя при этом конфиденциальность.
• Конфиденциальность для рабочих нагрузок: цель Google — сделать конфиденциальные вычисления простыми. Переход к Confidential VMs происходит плавно — все рабочие нагрузки GCP, которые вы запускаете сегодня на виртуальных машинах, могут работать в Confidential VM.

Confidential VMs базируются на виртуальных машинах серии N2D с процессорами AMD EPYC второго поколения. Как утверждает Google, добавление SEV для полного шифрования памяти и виртуализации практически никак не отражается на производительности. Google предложит образы для своих cVMs с Ubuntu 18.04 / 20.04, COS v81 и RHEL 8.2. В дальнейшем будут предложены другие варианты ОС.

SEV на процессорах AMD EPYC второго поколения позволяет облачным провайдерам шифровать все данные и память на уровне каждой виртуальной машины. Ключи генерируются «на лету» на аппаратном уровне и не подлежат экспорту, что снижает риск побочных атак со стороны потенциально агрессивных «соседей». Ранее вычислительная модель такого рода была возможна только в том случае, если хост брал на себя управление целым сервером, что в большинстве случаев нецелесообразно.

Компания «Ростелеком-Солар», занимающаяся разработкой решений в области IT-безопасности, представила новую версию системы управления правами доступа Solar inRights 2.10.

Solar inRights представляет собой решение класса IGA (Identity Governance and Administration), которое помогает организациям автоматизировать процессы контроля и управления правами доступа в корпоративных информационных системах.

Продукт обеспечивает автоматическое исполнение регламентов управления доступом, а также управление полным жизненным циклом учётных записей, ролей, IT-систем и других смежных субъектов. Solar inRights позволяет снизить риски, связанные с ошибками исполнения процедур предоставления доступа, избыточными правами сотрудников, а также повышает прозрачность процессов управления доступом.

В новой версии Solar inRights 2.10 ключевые усовершенствования коснулись модуля работы с нарушениями политик безопасности, которые позволили существенно сократить время реагирования ИБ-служб за счёт элементов автоматизации и усиленного аналитического инструментария. Также сообщается об улучшениях модуля работы с заявками, добавлении возможности просмотра истории работы со всеми нарушениями и прочих доработках.

Дополнительные сведения о продукте представлены на сайте компании-разработчика rt-solar.ru/products/solar_inrights.

Компания Schneider Electric выпустила несколько обновлений и патчей, закрывающих опасные уязвимости в программном обеспечении промышленного оборудования, широко используемого для управления энергосистемами.

Под угрозой оказалось встроенное ПО контроллера для автоматизации трансформаторных подстанций Easergy T300 (HU250) с поставляемым отдельно софтом Easergy Builder, который используется для настройки конфигурации такого оборудования.

Среди исправленных ошибок: возможность исполнения злоумышленниками произвольных команд на веб-сервере Easergy T300 и изменения конфигурации контроллера, возможность перехвата трафика устройства, получения доступа к ключам шифрования и к учётным записям пользователей, что фактически означает получение полного контроля над энергетическим оборудованием. Производитель рекомендует предприятиям как можно скорее установить выпущенные патчи.

Уязвимости обнаружили эксперты «Лаборатории кибербезопасности АСУ ТП» компании «Ростелеком-Солар», входящей в состав ПАО «Ростелеком».

«Контроллеры Schneider Electric Easergy T300, которые управляются с помощью ПО Easergy Builder, широко используются электросетевыми и инфраструктурными организациями по всему миру, в том числе в системах Smart Grid. От их работы зависит электроснабжение населения, больниц, школ, транспортной инфраструктуры и других социально значимых объектов. Далеко не всегда подключение таких устройств к сетям передачи данных осуществляется с соблюдением лучших практик, в результате чего оборудование может оказаться доступным для атак из интернета. По этой причине подобным устройствам особенно важно иметь надёжные встроенные средства защиты информации. Мы благодарим компанию Schneider Electric за профессиональный подход в работе по обнаруженным уязвимостям и надеемся на дальнейшее продуктивное сотрудничество по улучшению защищённости средств промышленной автоматизации», — говорится в сообщении компании «Ростелеком-Солар».