Модули TPM (Trusted Platform Module) часто устанавливаются в системы, с помощью которых осуществляется обработка конфиденциальной информации. Одна из функций этих модулей — генерация и безопасное хранение ключей шифрования. Для этого на борту модуля имеется отдельный криптопроцессор.

Но, как выяснилось, использование TPM не дает стопроцентной гарантии от утечки данных.

Архитектура криптопроцессора TPM

Группа исследователей, в которую вошли представители Вустерского политехнического института, а также Любекского и Калифорнийского университетов, разработала метод атаки, позволяющий восстанавливать значения закрытых ключей, сохранённых в модуле TPM.

Атака получила название TPM-Fail — она затрагивает как программно-аппаратные решения Intel (CVE-2019-11090), так и модули, построенные на базе чипов STMicroelectronics ST33 (CVE-2019-16863). Исследовали выложили в публичный доступ прототип ПО для атаки, а также продемонстрировали возможность восстановления 256-битного закрытого ключа, который используется в ЭЦП-алгоритмах ECDSA и EC-Schnorr.

Модуль TPM, установленный на системную плату. Версия Infineon, уязвимости нет

В основе новой атаки лежит временной анализ операций в процессе генерирования цифровой подписи. Оценка задержек позволяет получить информацию об отдельных битах, но для успешного восстановления ключа необходимо довольно существенное время.

Это время оценивается в 4-20 минут (до 15 тысяч операций) в случае решения Intel и порядка 80 минут (до 40 тысяч операций) для аппаратных TPM на базе ST33, поскольку для временного анализа необходима генерация нескольких тысяч ЭЦП для уже известных атакующему данных.

STMicroelectronics признала ошибку и сообщает, что в новой редакции криптопроцессора работа алгоритма ECDSA более не даёт задержек, которые можно было бы проанализировать. Интересно, что в аналогичных чипах Infineon и Nuvoton данная уязвимость отсутствует изначально.

Результаты аудита SDK для создания защищённых приложений

Что касается решений Intel, то описываемая проблема затрагивает все процессоры, начиная с поколения Haswell — как мобильные и десктопные, так и серверные. Но компания также признаёт наличие уязвимости и уже в ноябрьском обновлении прошивок она была устранена наряду с 24 другими различными уязвимостями.

Дополнительно стоит отметить публикацию результатов аудита различных средств разработки приложений, работающих с кодом, выполняемых в изолированных анклавах. По результатам выявлено 35 уязвимостей, потенциально позволяющих извлечь из AES-ключи или даже запускать какой-либо вредоносный код. Как выяснилось, архитектура Intel SGX не является единственной уязвимой — потенциально под угрозой находится также и RISC-V Keystone. 

За последние два года количество проблем в области цифровой и кибербезопасности выросло многократно. Не улучшило ситуацию и открытие аппаратных уязвимостей в процессорах.

И потому специалисты по ядру Linux разработали систему для улучшения защиты. Речь идёт о механизме, который позволяет оперативно реагировать на обнаруженные бреши.

witclub.info

Первоначально он был добавлен в Linux 5.3-rc7, а в сборке Linux 5.4 он получил обновление и официальную документацию. 

Процесс работы включает в себя предоставление информации специалистам по безопасности ядра Linux: Линусу Торвальдсу, Грегу Кроа-Хартману и Томасу Гляйкснеру (Linus Torvalds, Greg Kroah-Hartman, Thomas Gleixner). Команда, занимающаяся аппаратными брешами, будет работать независимо от остальных и использовать для общения отдельный, зашифрованный список почтовой рассылки для разработчиков, представителей компаний и других специалистов. 

Всё это позволит в кратчайшие сроки выпускать патчи, которые устраняют те или иные обнаруженные уязвимости. Причём по возможности до  их публичного раскрытия. Во всяком случае, так всё должно работать в теории.

Компания Eclypsium, специализирующаяся на безопасности встроенного программного обеспечения, сообщила в своём блоге, что её эксперты нашли ряд недостатков в контроллере управления системной платой (baseboard management controller — BMC), которые потенциально могли быть использованы для получения удалённого доступа к управлению серверами. 

Уязвимость касается трёх линеек серверных плат Supermicro: X9, X10 и X11. Eclypsium опубликовала результаты исследования только после выхода патчей от производителя. 

Исследователи из Eclypsium обнаружили, как минимум, 4 уязвимости в BMC-контроллере серверных материнских плат Supermicro

Обычно BMC открыты для доступа только из внутренней сети. Это сделано для того, чтобы предотвратить возможные вторжения злоумышленников. Но в некоторых случаях BMC оставляют открытыми для доступа из Интернета, благодаря чему к ним можно получить доступ прямо через веб-браузер.

Уязвимость касается функции «virtual media service», которая позволяет удаленно монтировать образы с USB-устройств, CD или DVD-дисков. При этом допускается аутентификация с помощью пароля, передаваемого в виде открытого текста, а большая часть трафика может идти в незашифрованном виде. Впрочем, и для шифрования используется слабый алгоритм. Всё это в итоге приводит к возможности обхода системы аутентификации, утверждает Eclypsium.

Эти ошибки в архитектуре сервиса позволяют злоумышленнику легко получить доступ к серверу либо путем перехвата пакета аутентификации легитимного пользователя, либо при помощи использования учетных данных по умолчанию, а в некоторых случаях вообще без применения каких-то учетных записей.

«Это означает, что злоумышленники могут атаковать сервер так же, как если бы у них был физический доступ к USB-порту, например, для загрузки нового образа операционной системы или использования клавиатуры и мыши для модификации данных, внедрения вредоносных программ или даже отключения устройства целиком», — пишет Eclypsium в своём блоге.

Согласно Eclypsium, самый простой способ использовать данные уязвимости — это найти сервер с логином по умолчанию и подобрать пароль при помощи грубого бутфорса. В других случаях атаки должны быть более специфичными и направленными.

Обычно доступ к службе виртуальных носителей осуществляется небольшим Java-приложением, которое подключается к TCP-порту 623 в случае Supermicro. Сканирование Eclypsium на порту 623 выявило 47 399 незащищенных BMC по всему миру.

Сейчас Eclypsium находится на волне славы. В июле компания раскрыла уязвимости BMC в материнских платах Lenovo, Gigabyte и некоторых других производителей, а в прошлом месяце обнаружила уязвимости в 40 драйверах устройств от 20 поставщиков, которые можно было использовать для развертывания вредоносных программ.

Если ваши серверы используют материнские платы Supermicro X9, X10 или X11, Eclypsium рекомендует посетить Supermicro Security Center для получения актуальной прошивки, включающей все необходимые исправления безопасности.

Производитель сетевого оборудования Cisco согласился выплатить в пользу американского правительства штраф за продажу программного обеспечения с уязвимостями, о которых было известно компании.

В ноябре 2008 года сотрудник датской компании NetDesign (партнёр Cisco) Джеймс Гленн (James Glenn) предупредил компанию о недостатках в программе Cisco Video Surveillance Manager (VSM), предназначенной для камер видеонаблюдения. По словам Гленна, уязвимости в ПО позволяли злоумышленникам без особого труда проникать в компьютерные системы, в которых функционируют камеры с VSM, а затем получать полный контроль над сетью. Среди заказчиков VSM были гражданские и военные ведомства США. 

Вместо латания дыр в ПО Cisco, как утверждает Гленн, предпочла надавить на NetDesign, в результате чего он был уволен. Компания не устраняла уязвимость до 2012 года, а до 2015-го она не выпускала рекомендации для клиентов, которые пользовались устаревшими уязвимыми версиями ПО. 


В итоге суд западного округа Нью-Йорка постановил, что Cisco нарушила Закон о ложных притязаниях (False Claims Act), поскольку игнорировала предупреждения истца и продолжала заявлять о соответствии камер видеонаблюдения требованиям информационной безопасности.

Cisco согласилась урегулировать иск, заплатив $8,6 млн, в том числе $1,6 млн Джеймсу Гленну и его адвокатам. Остальную сумму получили госучреждения США, которые пользовались Cisco Video Surveillance Manager.

Исследование компании Eclypsium, занимающейся вопросами обеспечения безопасности программно-аппаратных средств, выявило, что контроллер управления системной платой (BMC), поставляемый с серверами производства Lenovo, GIGABYTE и ещё шести компаний, содержит потенциально серьёзные уязвимости.

Исследователи Eclypsium изначально обнаружили бреши в прошивке BMC при анализе сервера Lenovo ThinkServer RD340, но, как  потом оказалось, это не единственная уязвимая серия оборудования.

Дальнейший анализ показал, что уязвимая прошивка была приобретена в качестве готового продукта стороннего производителя под названием MergePoint EMS от Vertiv (ранее Avocent), который также используется во многих корпоративных серверах GIGABYTE. 

Уязвимости также попали в прошивку материнских плат, поставляемых GIGABYTE другим компаниям для их собственных серверов, включая Acer, Amax, Bigtera, Ciara, Penguin Computing и sysGen. Lenovo и  GIGABYTE уже выпустили обновления прошивки, поэтому информация о проблеме стала публичной только сейчас, спустя год после обнаружения. Пользователям рекомендуется проверить версию прошивки на серверах и при необходимости обновить её как можно быстрее. 

«Этот случай выявил важную проблему для отрасли. Большинство производителей аппаратного обеспечения не создаёт свои собственные прошивки, полагаясь вместо этого на своих партнёров в цепочке поставок, — объяснили в Eclypsium. — Прошивка довольно часто лицензируется у стороннего производителя и используется с небольшими изменениями, что позволяет распространять уязвимости на различные бренды и продукты. Для адаптации производители должны тщательно протестировать любую прошивку, которую они лицензируют, на наличие уязвимостей».

Исследователи Eclypsium выявили два типа уязвимостей прошивки BMC. Одна из них связана с тем, что в процессе обновления прошивки не проверяется криптографическая подпись обновления, прежде чем принять его и записать во флеш-память SPI. Вторая проблема заключается в том, что код, отвечающий за процесс обновления прошивки, содержит уязвимость, которую можно использовать для внедрения команд.

Злоумышленник с повышенными привилегиями на хосте может использовать эти баги для выполнения вредоносного кода в BMC от имени администратора и изменения содержимого памяти BMC. Это позволяет сохранять брешь при переустановке операционной системы и предотвращать другие обновления прошивки. По словам Eclypsium, единственный способ избавиться от бреши после атаки — физическая перепрошивка чипа SPI. 

Компания RCNTEC объявила о выпуске обновлённого программного комплекса Complaud 1.12, предназначенного для мониторинга информационной безопасности IT-инфраструктуры предприятия.

Complaud позволяет ИБ-службам оперативно получать сведения об уязвимостях прикладного и системного программного обеспечения на серверах и сетевых устройствах организации, а также проводить автоматизированный контроль соответствия корпоративной IT-инфраструктуры международным стандартам безопасности используемого оборудования и софта. В дополнение к этому решение обеспечивает инвентаризацию и непрерывный аудит установленного ПО, поддерживает различные операционные системы и интеграцию со службой каталогов Microsoft Active Directory по протоколу LDAP.

Ключевой особенностью новой версии Complaud 1.12 стала возможность аудита уязвимостей информационной безопасности операционных систем семейства Windows (Windows 7/8/10, Windows 2008, 2008 R2, 2012, 2012 R2, 2016, 2019), дополнившая поддерживаемые ранее платформы Red Hat Enterprise Linux, CentOS, Ubuntu, Suse Linux Enterprise Server и др. По заверениям разработчика, на данный момент комплекс обнаруживает более 12 тысяч известных уязвимостей ОС Windows, база данных по которым регулярно обновляется.

Узнать больше о возможностях системы мониторинга IT-безопасности Complaud можно на сайте complaud.com.

Материалы по теме:

• PT ISIM freeView Sensor: бесплатная система мониторинга безопасности АСУ ТП;
• DataLine запустила сервис для мониторинга функциональности веб-ресурсов Web Monitor;
• Система «Галактика ЕАМ» дополнилась модулем мониторинга промышленного оборудования.

Источник:

• rcntec.com

Компания «Ростелеком-Solar», занимающаяся разработкой продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера программного кода Solar appScreener 3.0 (прежнее название — Solar inCode).

Solar appScreener представляет собой инструмент статического анализа кода, предназначенный для выявления уязвимостей и недекларированных возможностей (НДВ) в программных продуктах. Поддерживается анализ приложений, написанных более чем на 20+ языках программирования или скомпилированных в одном из 7 различных расширений исполняемых файлов, в том числе для Windows, macOS, Android и iOS. Доступна интеграция с различными средами разработки, средствами автоматизированной сборки ПО и системами отслеживания ошибок. Продукт можно развернуть как на собственных вычислительных мощностях организации, так и пользоваться им как сервисом, доступным из облака компании «Ростелеком-Solar».

Обновлённый программный комплекс Solar appScreener 3.0 получил улучшенный пользовательский интерфейс, усовершенствованный модуль обработки ложных срабатываний (Fuzzy Logic Engine), полностью переработанное управление группами пользователей. Также в продукте появились средства интеграции с Microsoft Active Directory, поддержка языка программирования COBOL, инструменты мгновенного поиска и расширенные базы правил поиска уязвимостей.

Solar appScreener внесён в реестр отечественного ПО, сертифицирован ФСТЭК России на соответствие требованиям к программному обеспечению по 4 уровню контроля отсутствия НДВ и может использоваться для замещения зарубежных аналогов.

Более подробную информацию о возможностях программного комплекса Solar appScreener можно найти на сайте разработчика rt-solar.ru.

Материалы по теме:

• Microsoft выпустила пакет средств разработки для квантовых компьютеров;
• Сканер программного кода Solar inCode получил сертификат ФСТЭК России;
• Эксперты: российский рынок разработки ПО демонстрирует рост при острой нехватке инвестиций.

Источник:

• rt-solar.ru

Компания «Ростелеком-Solar», занимающаяся разработкой продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера программного кода Solar inCode 2.10.

Solar inCode представляет собой инструмент статического анализа кода, предназначенный для выявления уязвимостей и недекларированных возможностей (НДВ) в программных продуктах. Поддерживается анализ приложений, написанных более чем на 20+ языках программирования или скомпилированных в одном из 7 различных расширений исполняемых файлов, в том числе для Windows, macOS, Android и iOS. Доступна интеграция с различными средами разработки, средствами автоматизированной сборки ПО и системами отслеживания ошибок. Продукт можно развернуть как на собственных вычислительных мощностях организации, так и пользоваться им как сервисом, доступным из облака компании «Ростелеком-Solar».

Обновлённый программный комплекс Solar inCode 2.10 получил усовершенствованный модуль обработки ложных срабатываний (Fuzzy Logic Engine). Также были добавлены новые правила для поиска уязвимостей для поддерживаемых языков программирования, в особенности для Groovy и Kotlin, поддержка которых была реализована в предыдущей версии продукта. Отдельно были доработаны алгоритмы анализа при поиске уязвимостей для языков C/C++ и JavaScript.

Solar inCode внесён в реестр отечественного ПО и сертифицирован ФСТЭК России на соответствие требованиям к программному обеспечению по 4 уровню контроля отсутствия НДВ.

Более подробную информацию о возможностях программного комплекса Solar inCode можно найти на сайте разработчика rt-solar.ru/products/solar_inCode.

Материалы по теме:

• Microsoft выпустила пакет средств разработки для квантовых компьютеров;
• Сканер программного кода Solar inCode получил сертификат ФСТЭК России;
• Эксперты: российский рынок разработки ПО демонстрирует рост при острой нехватке инвестиций.

Источник:

• rt-solar.ru

Компания Check Point Software Technologies сообщила об обнаружении уязвимости, которая затрагивает десятки миллионов факсимильных устройств по всему миру.

В опубликованном специалистами компании бюллетене безопасности говорится, что выявленная брешь позволяет злоумышленникам кодировать вредоносное программное обеспечение в изображения, которые факсимильный аппарат декодирует и загружает в свою память, а затем передаёт по сетям, к которым подключено устройство. Таким образом может распространяться любое вредоносное ПО, будь то программы-вымогатели, криптомайнеры или шпионский софт.

В отчёте Check Point Software Technologies подчёркивается, что взлому подвержены широко востребованные в корпоративной среде многофункциональные устройства HP Officejet Pro. При этом в силу использования в факсимильных аппаратах одних и тех же протоколов, есть основания полагать, что обнаруженная уязвимость имеет место быть и в устройствах других производителей, в том числе в предназначенных для работы с факсами онлайновых службах.

Несмотря на статус устаревшей технологии, в мире все ещё используется более 45 миллионов факсимильных аппаратов, с помощью которых ежегодно распространяется около 17 млрд сообщений. Факс по-прежнему широко используется в таких сферах, как здравоохранение, право, финансы и недвижимость. Многие организации хранят и обрабатывают огромные объёмы конфиденциальных персональных данных с их помощью.

«Многие компании даже не знают, что к ним подключён факсимильный аппарат, но возможности факса встроены во многие многофункциональные офисные и домашние принтеры, — отмечает Янив Балмас, руководитель группы исследований по безопасности Check Point Software Technologies. — Наше исследование показывает, как хакеры могут атаковать устройства, безопасность которых зачастую упускается из виду, чтобы получить доступ к сетям и подорвать работу организаций. Крайне важно уделять внимание защите каждого элемента корпоративной сети».

Сообщается, что после обнаружения уязвимости Check Point Software Technologies проинформировала компанию HP, которая оперативно отреагировала и выпустила патч для обновления прошивки МФУ Officejet Pro, который доступен на сайте support.hp.com.

Материалы по теме:

• В сетевых источниках бесперебойного питания APC найдены опасные уязвимости;
• Check Point: криптомайнеры всё чаще стали эксплуатировать уязвимости в серверном ПО;
• Хакеры продолжают эксплуатировать исправленную год назад уязвимость в Cleverence Mobile SMARTS Server.

Источник:

• blog.checkpoint.com

Киберпреступники всё чаще стали прибегать к использованию незакрытых уязвимостей в серверном программном обеспечении для незаконного майнинга криптовалют. Об этом свидетельствует исследование, проведённое компанией Check Point Software Technologies.

По данным вирусных аналитиков Check Point Software Technologies, злоумышленники до сих пор активно эксплуатируют известные уязвимости CVE-2017-7269 в операционной системе Microsoft Windows Server 2003 R2 и CVE-2017-10271 в платформе Oracle WebLogic Server. Примечательным является тот факт, что для данных продуктов разработчиками уже давно выпущены соответствующие патчи, однако многие IT-администраторы до сих пор не торопятся с их установкой, чем и пользуются киберпреступники.

«Сегодня хакеры стремятся проникнуть в сети с помощью незакрытых уязвимостей серверов, поэтому организациям следует обратить внимание на то, какую важную роль в безопасности организаций играет своевременное обновление программ и установка патчей, — отмечает Майя Хоровиц (Maya Horowitz), руководитель группы Threat Intelligence компании Check Point Software Technologies. — Тот факт, что огромное количество предприятий подверглось атакам, которые эксплуатировали уже известные уязвимости, вызывает серьёзное беспокойство, так как патчи для них доступны уже более 6 месяцев. Учитывая, что более 40% организаций во всем мире были подвержены этим атакам, крайне важно, чтобы предприятия внедряли многоуровневую стратегию кибербезопасности, которая защищает как от известных семейств кибератак, так и новых угроз».

Проверить IT-инфраструктуру организации на наличие уязвимостей можно с помощью недавно запущенного компанией «Газинформсервис» бесплатного сервиса Efros Vulnerability Checker, позволяющего специалистам по информационной безопасности и системным администраторам отслеживать появление новых уязвимостей в эксплуатируемом оборудовании и программном обеспечении, а также принимать меры по их оперативной нейтрализации. Также для решения подобного рода задач предназначены специализированные сканеры безопасности корпоративных IT-систем. Обзор таких продуктов представлен на сайте ServerNews.ru.

Материалы по теме:

• Efros Vulnerability Checker поможет проверить сетевое оборудование и средства виртуализации на наличие уязвимостей;
• Игра на опережение: обзор сканеров безопасности корпоративных IT-систем;
• SecureTower позволяет выявлять и блокировать майнинг криптовалюты на оборудовании организаций.

Источник:

• checkpoint.com