Компания «Ростелеком-Solar», занимающаяся разработкой продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера программного кода Solar appScreener 3.0 (прежнее название — Solar inCode).

Solar appScreener представляет собой инструмент статического анализа кода, предназначенный для выявления уязвимостей и недекларированных возможностей (НДВ) в программных продуктах. Поддерживается анализ приложений, написанных более чем на 20+ языках программирования или скомпилированных в одном из 7 различных расширений исполняемых файлов, в том числе для Windows, macOS, Android и iOS. Доступна интеграция с различными средами разработки, средствами автоматизированной сборки ПО и системами отслеживания ошибок. Продукт можно развернуть как на собственных вычислительных мощностях организации, так и пользоваться им как сервисом, доступным из облака компании «Ростелеком-Solar».

Обновлённый программный комплекс Solar appScreener 3.0 получил улучшенный пользовательский интерфейс, усовершенствованный модуль обработки ложных срабатываний (Fuzzy Logic Engine), полностью переработанное управление группами пользователей. Также в продукте появились средства интеграции с Microsoft Active Directory, поддержка языка программирования COBOL, инструменты мгновенного поиска и расширенные базы правил поиска уязвимостей.

Solar appScreener внесён в реестр отечественного ПО, сертифицирован ФСТЭК России на соответствие требованиям к программному обеспечению по 4 уровню контроля отсутствия НДВ и может использоваться для замещения зарубежных аналогов.

Более подробную информацию о возможностях программного комплекса Solar appScreener можно найти на сайте разработчика rt-solar.ru.

Материалы по теме:

• Microsoft выпустила пакет средств разработки для квантовых компьютеров;
• Сканер программного кода Solar inCode получил сертификат ФСТЭК России;
• Эксперты: российский рынок разработки ПО демонстрирует рост при острой нехватке инвестиций.

Источник:

• rt-solar.ru

Компания «Ростелеком-Solar», занимающаяся разработкой продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера программного кода Solar inCode 2.10.

Solar inCode представляет собой инструмент статического анализа кода, предназначенный для выявления уязвимостей и недекларированных возможностей (НДВ) в программных продуктах. Поддерживается анализ приложений, написанных более чем на 20+ языках программирования или скомпилированных в одном из 7 различных расширений исполняемых файлов, в том числе для Windows, macOS, Android и iOS. Доступна интеграция с различными средами разработки, средствами автоматизированной сборки ПО и системами отслеживания ошибок. Продукт можно развернуть как на собственных вычислительных мощностях организации, так и пользоваться им как сервисом, доступным из облака компании «Ростелеком-Solar».

Обновлённый программный комплекс Solar inCode 2.10 получил усовершенствованный модуль обработки ложных срабатываний (Fuzzy Logic Engine). Также были добавлены новые правила для поиска уязвимостей для поддерживаемых языков программирования, в особенности для Groovy и Kotlin, поддержка которых была реализована в предыдущей версии продукта. Отдельно были доработаны алгоритмы анализа при поиске уязвимостей для языков C/C++ и JavaScript.

Solar inCode внесён в реестр отечественного ПО и сертифицирован ФСТЭК России на соответствие требованиям к программному обеспечению по 4 уровню контроля отсутствия НДВ.

Более подробную информацию о возможностях программного комплекса Solar inCode можно найти на сайте разработчика rt-solar.ru/products/solar_inCode.

Материалы по теме:

• Microsoft выпустила пакет средств разработки для квантовых компьютеров;
• Сканер программного кода Solar inCode получил сертификат ФСТЭК России;
• Эксперты: российский рынок разработки ПО демонстрирует рост при острой нехватке инвестиций.

Источник:

• rt-solar.ru

Компания Check Point Software Technologies сообщила об обнаружении уязвимости, которая затрагивает десятки миллионов факсимильных устройств по всему миру.

В опубликованном специалистами компании бюллетене безопасности говорится, что выявленная брешь позволяет злоумышленникам кодировать вредоносное программное обеспечение в изображения, которые факсимильный аппарат декодирует и загружает в свою память, а затем передаёт по сетям, к которым подключено устройство. Таким образом может распространяться любое вредоносное ПО, будь то программы-вымогатели, криптомайнеры или шпионский софт.

В отчёте Check Point Software Technologies подчёркивается, что взлому подвержены широко востребованные в корпоративной среде многофункциональные устройства HP Officejet Pro. При этом в силу использования в факсимильных аппаратах одних и тех же протоколов, есть основания полагать, что обнаруженная уязвимость имеет место быть и в устройствах других производителей, в том числе в предназначенных для работы с факсами онлайновых службах.

Несмотря на статус устаревшей технологии, в мире все ещё используется более 45 миллионов факсимильных аппаратов, с помощью которых ежегодно распространяется около 17 млрд сообщений. Факс по-прежнему широко используется в таких сферах, как здравоохранение, право, финансы и недвижимость. Многие организации хранят и обрабатывают огромные объёмы конфиденциальных персональных данных с их помощью.

«Многие компании даже не знают, что к ним подключён факсимильный аппарат, но возможности факса встроены во многие многофункциональные офисные и домашние принтеры, — отмечает Янив Балмас, руководитель группы исследований по безопасности Check Point Software Technologies. — Наше исследование показывает, как хакеры могут атаковать устройства, безопасность которых зачастую упускается из виду, чтобы получить доступ к сетям и подорвать работу организаций. Крайне важно уделять внимание защите каждого элемента корпоративной сети».

Сообщается, что после обнаружения уязвимости Check Point Software Technologies проинформировала компанию HP, которая оперативно отреагировала и выпустила патч для обновления прошивки МФУ Officejet Pro, который доступен на сайте support.hp.com.

Материалы по теме:

• В сетевых источниках бесперебойного питания APC найдены опасные уязвимости;
• Check Point: криптомайнеры всё чаще стали эксплуатировать уязвимости в серверном ПО;
• Хакеры продолжают эксплуатировать исправленную год назад уязвимость в Cleverence Mobile SMARTS Server.

Источник:

• blog.checkpoint.com

Киберпреступники всё чаще стали прибегать к использованию незакрытых уязвимостей в серверном программном обеспечении для незаконного майнинга криптовалют. Об этом свидетельствует исследование, проведённое компанией Check Point Software Technologies.

По данным вирусных аналитиков Check Point Software Technologies, злоумышленники до сих пор активно эксплуатируют известные уязвимости CVE-2017-7269 в операционной системе Microsoft Windows Server 2003 R2 и CVE-2017-10271 в платформе Oracle WebLogic Server. Примечательным является тот факт, что для данных продуктов разработчиками уже давно выпущены соответствующие патчи, однако многие IT-администраторы до сих пор не торопятся с их установкой, чем и пользуются киберпреступники.

«Сегодня хакеры стремятся проникнуть в сети с помощью незакрытых уязвимостей серверов, поэтому организациям следует обратить внимание на то, какую важную роль в безопасности организаций играет своевременное обновление программ и установка патчей, — отмечает Майя Хоровиц (Maya Horowitz), руководитель группы Threat Intelligence компании Check Point Software Technologies. — Тот факт, что огромное количество предприятий подверглось атакам, которые эксплуатировали уже известные уязвимости, вызывает серьёзное беспокойство, так как патчи для них доступны уже более 6 месяцев. Учитывая, что более 40% организаций во всем мире были подвержены этим атакам, крайне важно, чтобы предприятия внедряли многоуровневую стратегию кибербезопасности, которая защищает как от известных семейств кибератак, так и новых угроз».

Проверить IT-инфраструктуру организации на наличие уязвимостей можно с помощью недавно запущенного компанией «Газинформсервис» бесплатного сервиса Efros Vulnerability Checker, позволяющего специалистам по информационной безопасности и системным администраторам отслеживать появление новых уязвимостей в эксплуатируемом оборудовании и программном обеспечении, а также принимать меры по их оперативной нейтрализации. Также для решения подобного рода задач предназначены специализированные сканеры безопасности корпоративных IT-систем. Обзор таких продуктов представлен на сайте ServerNews.ru.

Материалы по теме:

• Efros Vulnerability Checker поможет проверить сетевое оборудование и средства виртуализации на наличие уязвимостей;
• Игра на опережение: обзор сканеров безопасности корпоративных IT-систем;
• SecureTower позволяет выявлять и блокировать майнинг криптовалюты на оборудовании организаций.

Источник:

• checkpoint.com

Компания «Газинформсервис», работающая в области оказания услуг по обеспечению комплексной безопасности предприятий, объявила о запуске бесплатного сервиса Efros Vulnerability Checker, позволяющего специалистам по информационной безопасности и системным администраторам отслеживать появление новых уязвимостей в эксплуатируемом оборудовании и программном обеспечении, а также принимать меры по их оперативной нейтрализации.

В настоящее время ресурс позволяет проверять на наличие актуальных уязвимостей сетевое оборудование и средства виртуализации Cisco Systems, Huawei Technologies, Palo Alto Networks и VMware.

Для получения подробной информации об имеющихся уязвимостях в используемом в IT-инфраструктуре организации оборудовании и ПО достаточно открыть веб-браузер и на странице сервиса выбрать тип продукта и его версию. Далее Efros Vulnerability Checker предоставит список уязвимостей в порядке убывания их критичности. Описание каждой уязвимости сопровождается краткими характеристиками и включает базовые метрики в соответствии с методикой CVSS, ссылки на известные базы уязвимостей с более подробной информацией БДУ ФСТЭК России, CVE, Security Advisories от различных разработчиков.

В компании «Газинформсервис», подчёркивают, что за счёт агрегации данных об уязвимостях из различных источников, сервис Efros Vulnerability Checker может послужить полезным дополнением к имеющимся инструментальным средствам анализа защищённости корпоративной IT-инфраструктуры.

Материалы по теме:

• InfoWatch и Phishman интегрировали свои решения для повышения кибербезопасности организаций;
• «ЭвриТег» и Directum представили совместное решение для защиты электронного документооборота;
• «Ростех» увеличил ИБ-бюджет на 16 %.

Источник:

• gaz-is.ru

Компания Positive Technologies предупреждает о наличии довольно опасных уязвимостей в программном обеспечении Ipswitch WhatsUp Gold, которое используют системные администраторы в банках, госсекторе, промышленности и других сферах по всему миру.

Названный продукт осуществляет комплексное управление как физическими, так и виртуальными сетями, системами и приложениями, а также обеспечивает мониторинг и управление журналами.

Одна из найденных «дыр» позволяет удалённому атакующему воспользоваться неправильной конфигурацией TFTP-сервера и выполнить произвольные команды в операционной системе самого сервера. Злоумышленник может получить доступ ко всей информации, а также создать плацдарм для последующего развития атаки на сетевую инфраструктуру.

Ещё одна брешь связана с недостаточной фильтрацией пользовательского ввода на некоторых веб-страницах WhatsUp Gold и возможностью выполнить SQL-инъекцию. Результатом атаки может стать получение несанкционированного доступа к базе данных этого ПО или выполнение произвольного кода.

Эксперты Positive Technologies отмечают, что в случае успешного нападения злоумышленники могут нарушить производственные процессы. Для решения проблемы необходимо обновить WhatsUp Gold до версии не ниже WhatsUp Gold 2017 Plus Service Pack 2 (v.17.1.2). 

Компания Solar Security, занимающаяся разработкой продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию инструментария Solar inCode 2.7, позволяющего проверять безопасность приложений методом статического анализа даже при отсутствии исходного кода.

Главным отличием Solar inCode от конкурирующих решений является возможность статического анализа исполняемых файлов и библиотек (.apk, .jar, .war, .ipa, .exe и .dll) с автоматическим восстановлением высокоуровневого кода. Программный комплекс анализирует файлы приложений и выдаёт детальные рекомендации по устранению уязвимостей на русском языке с описанием способов их эксплуатации. Рекомендации делятся на два типа: рекомендации по корректировке исходного кода и рекомендации по настройке компенсирующих мер на средствах SIEM, WAF, FW, NGFW. Продукт может быть интегрирован в процесс безопасной разработки программного обеспечения, поддерживает работу с репозиториями, имеет в составе модуль обработки ложных срабатываний (Fuzzy Logic Engine) и представлен в форматах локальной и облачной версий.

В новой версии Solar inCode 2.7 реализован модуль анализа исполняемых файлов приложений для операционной системы macOS (расширение .app). Также обновлённый инструментарий получил расширенный набор правил для поиска уязвимостей, улучшенные алгоритмы анализа при поиске уязвимостей для языков Java/Scala и Java for Android и функцию выгрузки отчётов о сканированиях в соответствии с классификацией уязвимостей OWASP Top 10 2017. Кроме того, найденные уязвимости могут быть ранжированы в соответствии с OWASP Mobile Top 10 2016, PCI DSS и HIPAA, что упрощает задачу по соответствию требованиям регуляторов.

Дополнительная информация о программном комплексе Solar inCode представлена на сайте solarsecurity.ru/products/solar_inCode.

Материалы по теме:

• 47 % промышленных систем управления имеют уязвимости высокой степени риска;
• «Инфосистемы Джет» вывела на рынок независимую компанию Solar Security;
• Бесплатный сервис PT BlackBox Scanner поможет найти уязвимости в веб-приложениях.

Источник:

• solarsecurity.ru

Злоумышленники продолжают активно эксплуатировать уязвимость в серверных компонентах платформы Cleverence Mobile SMARTS, исправленную компанией-разработчиком ещё в 2017 году. По словам экспертов, такая «живучесть» устаревшей бреши объясняется упорным нежеланием IT-администраторов устанавливать обновления ПО.

Cleverence Mobile SMARTS представляет собой программный комплекс, созданный для автоматизации магазинов, складов, различных учреждений, производств и предназначенный для разработки корпоративных решений под мобильные терминалы сбора данных (ТСД), микрокиоски (прайс-чекеры), смартфоны и планшеты.

Архитектура платформы Cleverence Mobile SMARTS

В конце июля прошлого года специалисты компании «Доктор Веб» обнаружили критическую уязвимость в одном из модулей Cleverence Mobile SMARTS Server, с использованием которой злоумышленники получали несанкционированный доступ к серверам и устанавливали на них троянцев семейства Trojan.BtcMine, предназначенных для добычи (майнинга) криптовалют. Разработчик платформы был оперативно проинформирован о выявленной "дыре" и своевременно выпустил закрывающий уязвимость апдейт. Однако многие IT-администраторы до сих пор не торопятся с его установкой, чем и пользуются злоумышленники. Киберпреступники продолжают устанавливать на взломанные ими серверы троянцев-майнеров, постоянно модифицируя их версии.

Администраторам серверов, использующих Cleverence Mobile SMARTS Server, специалисты компании «Доктор Веб» настоятельно рекомендуют установить все выпущенные разработчиком обновления безопасности.

Материалы по теме:

• Исследование влияния Meltdown на AWS-инфраструктуру;
• Intel раскрыла данные об уязвимости в подсистеме Management Engine;
• Более 90 % промышленных систем с интернет-подключением уязвимы для киберугроз.

Источник:

• news.drweb.ru

3 января 2018 года мировая общественность узнала о возможности атак Meltdown и Spectre, обусловленных архитектурными особенностями современных процессоров. Это произошло примерно на неделю раньше запланированного срока из-за утечек. Мы много писали об этом, а потому повторяться не будем — достаточно сказать, что уязвимости являются самыми большими из вскрытых в последнее десятилетие и требуют полного переосмысления микропроцессорных архитектур, а также принципов взаимодействия ПО и CPU.

Публичные облачные компании вроде Amazon Web Services (AWS) были проинформированы об уязвимостях до обнародования информации и работали над подготовкой системных исправлений, которые предотвратили бы раскрытие информации в облачной инфраструктуре со множеством арендаторов. На данный момент нет универсального исправления для Spectre, поэтому большинство смягчающих мер на сегодняшний день прежде всего нацелены против более лёгкой для использования злоумышленниками уязвимости Meltdown.

Недавно в своём блоге SolarWinds решила поделиться опытом использования инфраструктуры AWS в течение последних недель в связи с Meltdown. Компания, как и многие другие в секторе SaaS (ПО как услуга), пострадала от частичного простоя, вызванного усилиями AWS по борьбе с Meltdown. Первым признаком предстоящих проблем стали полученные в середине декабря email-сообщения о необходимости перезагрузки всех паравиртуализированных (PV) хостов до 5 января. SolarWinds в основном работает с HMV-системами, но для поддержки устаревших платформ используют и несколько PV. Как видно из приведённой диаграммы, взятой из сервисного звена серверов Python, когда 20 декабря были перезагружены PV-системы, результатом стал рост нагрузки CPU на внушительные 25% — были и другие сообщения о схожих проблемах, связанных с производительностью или стабильностью работы серверов после их перезагрузки накануне 5 января:

Для HVM-серверов AWS смогла выпустить заплатку против Meltdown, не требующую перезагрузки. Судя по всему, для серверов HVM EC2 они начали развёртываться около 4 января 00:00 UTC по времени восточного побережья США и закончили в 20:00 UTC. Это очень быстро — очевидно, Amazon форсировала процесс из-за преждевременной утечки информации. Подобный рост нагрузки процессоров был замечен на нескольких сервисных звеньях:

В этот же период было зарегистрировано дополнительное увеличение нагрузки CPU на PV-серверах, которые уже были обновлены. По-видимому, они тоже получали какие HVM-исправления примерно в то же время, как и все полноценные HVM:

С точки зрения производительности, затронуты обновлением были почти все уровни платформы — как инфраструктура EC2, так и управляемые службы AWS (RDS, Elasticache, VPN Gateway). Например, SolarWinds активно использует Kafka для обработки потоков в Solarwinds Cloud. Рост нагрузки на CPU во время развёртывания обновления оказался умеренным, около 4 %:

Но в то же время частота обмена пакетами в том же кластере Kafka, снизилась на значение до 40 %. Пропускная способность при этом не уменьшилась, так что, по мнению SolarWinds, время отклика отдельных пользователей увеличилось, что привело к увеличению размеров пакетов данных и уменьшению количества небольших пакетов:

Звенья СУБД Cassandra, которые SolarWinds использует для хранения данных, тоже были затронуты по всем направлениям. Наблюдались всплески нагрузки CPU примерно на 25 % на экземплярах вроде m4.2xlarge и других типов. Даже если мощностей достаточно, это заставляет задуматься о расширении, чтобы компенсировать потенциальный рост нагрузки.

Влияние на производительность также наблюдалось и для внутренних звеньев SolarWinds. Например, задержки p99, связанные с записью в Cassandra, возрастали на значение до 45 %.

Также были обнаружены скачки в задержках в управляемых службах AWS, таких как AWS Elasticache Memcached. Например, на приведённом memcached-кластере при средней нагрузке на CPU в 8 % рост оказался почти двукратным:

Это привело к весьма существенному удлинению хвоста задержек (Tail latency) и таймаутов кеша, то есть для некоторых пользователей ожидание отклика возросло многократно:

Как видно из диаграмм, новый базовый уровень производительности систем существенно изменился после исправлений для борьбы с Meltdown. Заплатки KPTI необходимы для поддержки изоляции памяти, чтобы предотвратить использование уязвимостей в публичной облачной инфраструктуре, сдаваемой множеству арендаторов. Разработчикам ПО необходимо будет понять, как можно снизить возросшие накладные расходы ресурсов CPU от переключений между пользовательским адресным пространством и ядром, которые добавляют KPTI-исправления.

Приложения, часто делающие системные вызовы для чтения или записи данных по сети или из дисковых систем, должны быть оптимизированы. Небольшие операции ввода-вывода стали более «дорогими», и разработчикам придётся оптимизировать код, чтобы уменьшить частоту таких вызовов, объединяя несколько в один. Найти оптимальное значение между большими размерами пакетов и задержками сложно и потребует ПО, которое умеет адаптироваться под несколько переменных одновременно. Отрадно видеть, что потребительские библиотеки Kafka смогли динамически оптимизироваться по мере увеличения задержек сетевых вызовов.

Для оптимизации программистам потребуется доступ в реальном времени к точным и подробным измерениям, которые способны показать частоту системных вызовов, генерируемых их приложениями или базами данных. Активное отслеживание системных вызовов станет необходимостью.

Также неясно, к чему приведёт появление новых заплаток против Meltdown и Spectre, — можно лишь предположить, что они будут продолжать влиять на производительность любой масштабной бизнес-инфраструктуры. Придётся адаптировать принципы разработки программного обеспечения для распределённых систем, чтобы приспособиться к меняющимся условиям. Стоит добавить, что на общую производительность также повлияют исправления для клиентских систем. Впрочем, по состоянию на 12 января SolarWinds заметила существенное снижение CPU-нагрузки своих систем. Неясно, стало ли это следствием развёртывания дополнительных заплаток или были иные причины, однако уровни нагрузки процессоров возвращаются к уровням до появления HVM-исправлений.

Intel опубликовала бюллетень безопасности касательно проблемы, выявленной в модуле Management Engine (ME): корпорация признала, что уязвимость затрагивает широчайший перечень процессоров разного класса.

О проблеме рассказала компания Positive Technologies. Чип Intel ME является частью микросхемы системного хаба (PCH). Через PCH осуществляется почти всё общение процессора с внешними устройствами, поэтому Intel ME имеет доступ практически ко всем данным на компьютере. Исследователям удалось найти ошибку, которая позволяет выполнять неподписанный код внутри PCH на любой материнской плате для процессоров семейства Skylake и выше. Подробности можно узнать в нашем материале.

Главная опасность заключается в том, что злоумышленники могут устанавливать в коде Intel ME особые «закладки» (например, шпионское ПО), которые большинство традиционных средств защиты не обнаружат. Более того, система останется полностью работоспособной, а пользователь даже не узнает, что находится под наблюдением.

Итак, в бюллетене Intel говорится, что проблема затрагивает следующие семейства процессоров:

• Intel Core шестого, седьмого и восьмого поколений;
• Intel Xeon E3-1200 v5 и v6;
• Intel Xeon Scalable;
• Intel Xeon W;
• Intel Atom C3000;
• Intel Apollo Lake Atom E3900;
• Intel Apollo Lake Pentium;
• Intel Celeron N и J Series.

Корпорация Intel создала специальный инструмент, который поможет администраторам систем под управлением Windows и Linux определить, уязвимо ли их оборудование.