Компания Positive Technologies вывела на рынок систему управления уязвимостями нового поколения MaxPatrol VM.

Представленный отечественным разработчиком продукт построен на базе платформы MaxPatrol 10, объединяющей продукты Positive Technologies для мониторинга безопасности корпоративной IT-инфраструктуры. MaxPatrol VM позволяет выстроить полный цикл управления уязвимостями: от сбора информации об IT-активах, выявления и приоритизации уязвимостей по уровню их опасности до контроля их устранения. Система снижает нагрузку на подразделения ИТ и ИБ, автоматизируя большинство рутинных процессов, и повышает эффективность мероприятий по защите.

В основу MaxPatrol VM положена технология управления активами Security Asset Management (SAM). Она позволяет системе с помощью активного и пассивного сбора данных строить в каждый момент времени актуальную и полную модель наблюдаемой инфраструктуры. За счёт понимания IT-среды решение помогает выстроить и автоматизировать управление уязвимостями с учётом значимости компонентов сети для бизнес-процессов, охватить все системы организации, а также учитывать изменения инфраструктуры.

MaxPatrol VM поддерживает интеграцию с другими продуктами Positive Technologies — системой выявления инцидентов в реальном времени MaxPatrol SIEM и системой анализа трафика PT Network Attack Discovery, что позволяет обогатить знания об IT-активах предприятия и добиться полной видимости инфраструктуры. Подробные сведения о новом программном комплексе можно найти на сайте ptsecurity.com/products/mp-vm.

Компания «Алтэкс-Софт» сообщила о выпуске обновлённой версии сканера безопасности RedCheck 2.6.6.

RedCheck представляет собой средство анализа защищённости, предоставляющее детальные сведения об эффективности мер по защите информации в корпоративной сети и её отдельных элементах. Программа определяет уязвимости операционных систем, СУБД, платформ виртуализации и приложений, потенциально опасные настройки, осуществляет оценку соответствия требованиям политик и стандартов, контроль целостности, инвентаризацию оборудования и программного обеспечения, формирует подробные отчёты.

В RedCheck версии 2.6.6 завершён перевод всех компонентов сканера на х64-архитектуру, при этом для устаревших платформ остался доступен x86-агент. Переход на x64-архитектуру позволил увеличить производительность и устойчивость продукта при работе в сетях класса Enterprise. Разработчиками были расширены функции аудита в режиме «Пентест», улучшены инструменты построения отчётов и планировщик заданий, исправлены ошибки и дополнена поддержка (сканирование) ряда новых операционных систем. Особое внимание было уделено отечественным решениям ОС «Альт 8 СП» и Astra Linux Common Edition («Орёл»).

RedCheck внесён в реестр российских программ для электронных вычислительных машин и баз данных. Подробные сведения о продукте можно найти на сайте redcheck.ru.

Статистика, собранная Компьютерной командой экстренной готовности США (US-CERT), говорит о том, что в нынешнем году установлен новый антирекорд по количеству обнаруженных уязвимостей в программном обеспечении (ПО).

На момент подготовки этого материала данные US-CERT говорили о выявлении в 2020 году 17 550 «дыр» разного уровня опасности в программных продуктах. Для сравнения: в прошлом году число обнаруженных уязвимостей составило 17 306.

Сообщается, что в 2020-м выявлены 4177 уязвимостей с высоким уровнем опасности против 4337 в прошлом году. Основную массу составили «дыры» среднего уровня опасности — 10 776, что ниже прошлогоднего значения в 10 956. А вот число малоопасных уязвимостей поднялось с 2013 до 2597.

Нажмите для увеличения

Таким образом, в уходящем году в четвёртый раз подряд поставлен негативный рекорд по количеству новых уязвимостей. Специалисты говорят, что наблюдающаяся картина может объясняться двумя причинами — ухудшающимся качеством программного кода и возросшей активностью «белых» хакеров, которые ищут проблемные места в софте за вознаграждение от разработчиков. 

Основная часть уязвимостей касалась веб-приложений, однако заметен рост и в других сегментах. Например, число обнаруженных дыр в API выросло вдвое, а для Android — втрое. Кроме того, сменились и цели для атак и изучения. Если раньше компании больше беспокоились о проблемах в продуктах, с которыми взаимодействуют их конечные потребители, то теперь внимание уделяется и собственной IT-инфраструктуре, и продуктам, которые используются сотрудниками.

Защита периметра сетевой IT-инфраструктуры большинства отечественных организаций оставляет желать лучшего. Об этом свидетельствует исследование, проведённое компанией Positive Technologies.

Согласно представленным Positive Technologies сведениям, в сетях 84 % российских организаций выявлены бреши высокого уровня риска, причём в 58 % компаний имеется хотя бы один узел с критической уязвимостью, для которой существует общедоступный эксплойт. Более чем в половине предприятий внешние ресурсы содержат уязвимости, связанные с выполнением произвольного кода или повышением привилегий.

Источник: Positive Technologies

Как сообщается в исследовании, в каждой четвертой организации (26 %) на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP, что подвергает корпоративную IT-инфраструктуру риску заражения шифровальщиком WannaCry. Кроме того, на сетевом периметре большинства компаний были выявлены доступные для подключения веб-сервисы, электронная почта, интерфейсы для удалённого администрирования, файловые службы.

Во всех компаниях выявлены узлы, на которых раскрывается та или иная техническая информация: содержимое конфигурационных файлов, маршруты к сканируемому узлу, версии ОС или поддерживаемые версии протоколов. «Чем больше подобной информации об атакуемой системе удаётся собрать злоумышленнику, тем выше его шанс на успех», — отмечают в Positive Technologies. По мнению экспертов, причина кроется в небезопасной конфигурации служб.

Практически на всех серверных платах установлены контроллеры BMC (base management controller), отслеживающие ряд параметров системы и позволяющие управлять ей без необходимости физического присутствия. Но контроллер BMC сам по себе является компьютером и, следовательно, его программное и аппаратное обеспечение может содержать уязвимости, ставящие под потенциальный удар злоумышленников всю систему. Как оказалось, подобным грешит Emulex Pilot 3, применяемый в ряде продуктов Intel.

Intel S2600CW, одна из плат, подверженных уязвимости. Контроллер BMC Emulex Pilot 3 можно увидеть в правом нижнем углу

Emulex Pilot 3 — комплексное решение, полностью отвечающее стандартам IPMI 2.0 и DCMI. В его основе лежит процессорное 32-битное ядро с архитектурой ARM9, работающее на частоте 400 МГц. Ему помогают сопроцессоры RISC Second Service и 8051, оба работающие на частоте 200 МГц. Для реализации аппаратной функции KVM в составе имеется также 2D-видеоядро с собственным выделенным фрейм-буфером, поддерживающее разрешения до 1920x1200, чего для задач удалённого управления вполне достаточно.

Как оказалось, прошивка Emulex Pilot 3 не лишена уязвимостей, причём таких, что по шкале CVSS им был присвоен рейтинг 9,6 из 10, что означает статус «критических». Уязвимость связана с некорректной реализацией механизмов аутентификации в версиях прошивок Emulex до 1.59, позволяющих обойти сам процесс аутентификации полностью и получить доступ к KVM-консоли сервера. Единственное требование к атакующему — он должен находиться в том же сетевом сегменте, что и уязвимый сервер.

Контроллер BMC Pilot 3 в архитектуре системной платы Intel S1200

Самой серьёзной уязвимости присвоен номер CVE-2020-8708, но существуют и другие, связанные с этими же устройствами — CVE-2020-8707 (8,3 балла по шкале CVSS) и менее опасная CVE-2020-8706 (4,7 балла). Исследователи уверены, что проблема за номером 8708 связана с самой архитектурой Emulex Pilot 3; отмечается даже, что работать с BMC посредством этой уязвимости может быть удобнее, нежели используя официальный Java-клиент.

Компания Intel сообщила что в целом устранила 22 уязвимости. В основном, ей оказались подвержены системные платы серии S2600 для Xeon E5 (LGA2011-3), использующиеся не только в серверах. На текущий момент список плат таков:

• Intel S2600WT;
• Intel S2600CW;
• Intel S2600KP;
• Intel S2600TP;
• Intel S2600WF;
• Intel S2600ST;
• Intel S2600BP;
• Intel S1200SP.

Среди готовых серверных систем Intel под угрозой R1000WT/WF, R2000WT/WF, R1000SP, LSVRP и LR1304SP. Затронуты модули HNS2600KP/TP/BP. Более детальная информация содержится на сайте Intel. Для устранения уязвимостей следует обновить прошивку BMC до версии 1.59.

Пока речь идёт о системах только производства Intel, но прошивка для Pilot 3 создана компанией AMI, так что с аналогичными уязвимостями теоретически могут столкнуться и владельцы систем производителей, отличных от Intel. Сама Intel рекомендует также ознакомиться с новой информацией относительно уязвимостей, могущих встречаться в других её продуктах.

Недавно обнаруженная уязвимость системы безопасности программно-аппаратного обеспечения удалённого доступа на серверах Dell может предоставить хакерам полный доступ к системам, которые используют менеджеры центров обработки данных, позволяя им, например, производить отключение охлаждающих вентиляторов сервера или полное выключение оборудования.

Исследователи безопасности, обнаружившие уязвимость, идентифицировали сотни серверов, к которым благодаря ей открыт доступ через Интернет. «Это опасная уязвимость, — сообщил ресурсу Георгий Кигурадзе, один из двух исследователей Positive Technologies, обнаруживших уязвимость в серверах Dell. — Она позволяет получить полный контроль над работой сервера, включать и выключать серверы, а также изменять параметры его охлаждения».

Речь идёт об обнаружении уязвимости Path Traversal в контроллере удалённого доступа Dell (Integrated Dell Remote Access Controller, iDRAC), которая получила номер CVE-2020-5366. К счастью, есть патч, но, к сожалению, злоумышленники иногда могут воспользоваться уязвимостью быстрее, чем менеджеры ЦОД её устранят, как это произошло в мае с программным обеспечением для управления серверами SaltStack. Если ЦОД не будут достаточно быстро устанавливать новые патчи iDRAC, они могут столкнуться с некоторыми серьезными рисками.

Кигурадзе затрудняется сказать, насколько много систем потенциально уязвимо для хакерской атаки, «iDRAC предлагается в качестве опции почти для всех существующих серверов Dell», — отметил он. Dell рекомендует не подключать iDRAC напрямую к Интернету, но не все организации следуют этому совету. Помимо установки патча, рекомендуется использовать веб-брандмауэры для защиты от этой и других подобных уязвимостей. А лучше всего вынести iDRAC в отдельную административную сеть с доступом только для авторизованных администраторов сервера.

А, пожалуй, наиболее нашумешвой уязвимостью в серверах Dell стала iDRACula (integrated Dell Remote Access Controller unauthorized load access), которая позволяла полностью заменить прошивку iDRAC в старых серверах. Как и любая другая уязвимость в BMC, включая и последнюю CVE-2020-5366, она опасна тем, что позволяет влиять на работу сервера, почти не обнаруживая себя.

Ресурс Phoronix обратил внимание на необычный патч, принятый Линусом Торвальдсом в ядро Linux 5.8, который, согласно описанию, «усложняет удалённое наблюдение, которое может привести к угадыванию внутреннего состояния сетевого генератора [псевдо]случайных чисел».

Flickr/foxtongue

Патч меняет первые 32 из 128 бит переменной net_rand_state при появлении прерывания или активности CPU. Проще говоря, состояние генератора будет чаще обновляться вне зависимости от аппаратной конфигурации и настроек конкретной системы. Необычность патча в том, что он не попал в списки рассылки и предварительно публично не обсуждался в отличие от обычных правок. Кроме того, он будет портирован в предыдущие релизы ядра и попадёт таким образом во все мажорные Linux-дистрибутивы.

Ну а самое интригующее в этой истории то, что автором патча является Амит Клайн (Amit Klein), известный специалист в области информационной безопасности с почти 30-летним стажем. Ранее он неоднократно находил уязвимости в ядре Linux. Так что за довольно абстрактным описанием патча может скрываться ещё одна «дыра» и притом серьёзная, так как наличие хорошего источника случайных чисел крайне важно для шифрования и защиты.

Компания Schneider Electric выпустила несколько обновлений и патчей, закрывающих опасные уязвимости в программном обеспечении промышленного оборудования, широко используемого для управления энергосистемами.

Под угрозой оказалось встроенное ПО контроллера для автоматизации трансформаторных подстанций Easergy T300 (HU250) с поставляемым отдельно софтом Easergy Builder, который используется для настройки конфигурации такого оборудования.

Среди исправленных ошибок: возможность исполнения злоумышленниками произвольных команд на веб-сервере Easergy T300 и изменения конфигурации контроллера, возможность перехвата трафика устройства, получения доступа к ключам шифрования и к учётным записям пользователей, что фактически означает получение полного контроля над энергетическим оборудованием. Производитель рекомендует предприятиям как можно скорее установить выпущенные патчи.

Уязвимости обнаружили эксперты «Лаборатории кибербезопасности АСУ ТП» компании «Ростелеком-Солар», входящей в состав ПАО «Ростелеком».

«Контроллеры Schneider Electric Easergy T300, которые управляются с помощью ПО Easergy Builder, широко используются электросетевыми и инфраструктурными организациями по всему миру, в том числе в системах Smart Grid. От их работы зависит электроснабжение населения, больниц, школ, транспортной инфраструктуры и других социально значимых объектов. Далеко не всегда подключение таких устройств к сетям передачи данных осуществляется с соблюдением лучших практик, в результате чего оборудование может оказаться доступным для атак из интернета. По этой причине подобным устройствам особенно важно иметь надёжные встроенные средства защиты информации. Мы благодарим компанию Schneider Electric за профессиональный подход в работе по обнаруженным уязвимостям и надеемся на дальнейшее продуктивное сотрудничество по улучшению защищённости средств промышленной автоматизации», — говорится в сообщении компании «Ростелеком-Солар».

Концепция Universal Plug and Play (UPnP) изначально имела благие намерения — унифицировать и автоматизировать настройку сетевых устройств, от домашних медиапроигрывателей до сетей малых предприятий. Но благими намерениями часто бывает вымощена дорога известно куда. Сложный набор протоколов и технологий не мог не иметь пробелов. Так, новая уязвимость CallStranger позволяет отправлять сетевой трафик произвольному получателю.

UPnP применяется во множестве бытовых и офисных устройств с доступом в сеть

UPnP — довольно удобная технология: устройство с поддержкой этой технологии присоединяется к сети, в динамическом режиме получает IP-адрес, сообщает о своих возможностях и опрашивает другие устройства на предмет их возможностей. В UPnP используются известные технологии: IP, TCP/UDP, HTTP и XML. Пример использования UPnP — автоматическое перенаправление портов, которое реализовано, например, в Skype и торрент-клиентах.

Однако бездумное включение UPnP везде может сделать вашу сеть привлекательной целью для злоумышленников. Как сообщает ресурс OpenNET, новая уязвимость CVE-2020-12695, получившая имя CallStranger, позволяет извлекать данные даже из защищённых сетей, сканировать порты компьютеров во внутренней сети, а также задействовать для DDoS-атак весь парк UPnP-устройств, от кабельных модемов и домашних маршрутизаторов до IP-камер и игровых консолей.

В поле CALLBACK можно подставить любой URL

В спецификациях UPnP предусмотрена функция SUBSCRIBE (подписка), она изначально предназначена для отслеживания изменений настроек различных устройств и сервисов в сети. Но она же позволяет и любому атакующему извне отправить HTTP-пакет с заголовком Callback, что даёт возможность применить UPnP-устройство в качестве прокси-узла. Этот узел может быть занят отправкой запросов на другие хосты.

Проблема этой части спецификаций UPnP в том, что функция SUBSCRIBE позволяет указать любой URL, с которым устройство попытается осуществить соединение. К сожалению, этой уязвимости подвержены все системы с UPnP, отвечающие спецификациям с датой выпуска до 17 апреля этого года. Подтверждено использование CallStranger в открытом пакете hostapd (для Wi-Fi), к нему доступен патч с исправлением.

В основе UPnP лежит XML

Но большая часть Linux-систем всё ещё уязвима, в список входят такие известные дистрибутивы, как RHEL, SUSE, Arch, Fedora, Ubuntu, Debian, а также «народная» прошивка для маршрутизаторов OpenWRT. Все устройства, в которых UPnP реализовано на основе открытого стека pupnp также под угрозой.

К сожалению, организация, ответственная за развитие UPnP, Open Connectivity Foundation (OCF) знала о наличии проблемы ещё в конце прошлого года, но отнеслась к ней небрежно, изначально не считая данную возможность уязвимостью. В настоящее время проблема признана, предписано использование UPnP только в сегменте LAN, но не WAN. Однако недоработка имеет фундаментальную природу; UPnP используется широко и для ряда старых устройств обновлений может попросту не появиться.

В качестве защитных мер рекомендуется изоляция UPnP-устройств от внешних запросов со стороны WAN, для этого нужно соответствующим образом настроить брандмауэр. Необходимо блокировать HTTP-запросы типа SUBSCRIBE и NOTIFY. В качестве крайней мере рекомендуется полное отключение UPnP. Провериться на наличие уязвимости можно с использованием специального инструментария. Полный отчёт об уязвимости доступен здесь.

VMware — один из признанных лидеров в области технологий виртуализации. Однако так ли уж надёжны все решения этой компании? Группа хакеров Citadelo даёт отрицательный ответ. Некоторые инструменты VMWare на удивление легко поддаются взлому, как это случилось с vCloud Director.

vCloud Director — средство развёртывания облачных систем и управления ими. Оно используется как провайдерами публичных облачных услуг, так и компаниями, создающими «приватные» облака. Взлом такого облака может принести массу ценной для хакера информации. Уязвимость CVE-2020-3956 была закрыта патчем в середине мая, однако прошло не так много времени, чтобы обновление успели произвести все, кто пользуется этим инструментарием.

Сам взлом позволяет получить доступ к внутренней базе данных, включая хеши паролей, повысить уровень привилегий с администратора организации (organization administrator) до практически всесильного администратора всей системы управления (system administrator). Возможна даже модификация страницы входа в vCloud Director для дальнейшего перехвата паролей и другой вводимой пользователями секретной информации.

Как выяснили Томаш Мелихер и Лукаш Вацлавик (Tomáš Melicher and Lukáš Václavík), механика довольно простая. При попытке подставить значение «${7*7}» вместо имени хоста SMTP-сервера в запросе из панели управления vCloud Director они получили следующий ответ системы: «String value has invalid format, value: [49]». Конструкция «${ }» приводит к выполнению её содержимого на стороне сервера, в данном случае это код на Java. 

К счастью, группа Citadelo относится к так называемому «этическому» подвиду хакеров. Ничего вредоносного исследователи не сделали, напротив, они сообщили об этой ситуации VMware, которая 19 мая опубликовала эту информацию вместе с закрывающим уязвимость патчем. Однако пример кода для взлома был также опубликован Citadelo, поэтому тем, кто ещё не воспользовался вышеупомянутым патчем, имеет смысл сделать это как можно скорее.