Компания International Data Corporation (IDC) сообщает о том, что объём мирового рынка устройств обеспечения безопасности (Security Appliance) во II квартале 2023 года достиг $4,2 млрд. Это на 7,6 % больше результата годичной давности, когда продажи оценивались в $3,9 млрд.

В штучном выражении отгрузки подскочили год к году на 22,0 % — до 1,1 млн единиц. Это отчасти объясняется улучшением работы цепочек поставок, а также желанием корпоративных пользователей укрепить защиту своих IT-инфраструктур. Системы защиты от сетевых угроз UTM (Unified Threat Management) и брандмауэры сообща показали рост продаж на уровне 9,7 %. Средства обнаружения и предотвращения вторжений (IPS) продемонстрировали прибавку около 2,3 %.

Источник изображения: IDC

С географической точки зрения регион Европы, Ближнего Востока и Африки (EMEA) показал увеличение выручки по итогам II квартала 2023-го на 11,8 % по сравнению с тем же периодом прошлого года. В США зафиксирован рост затрат на 8,6 %, в Канаде и Латинской Америке — более чем на 20,0 %.

Лидером мирового рынка ИБ-устройств является Fortinet с выручкой в размере $897,6 млн и долей 21,3 % во II четверти 2023 года. Далее идёт Palo Alto Networks — $883,6 млн и 21,0 %. Замыкает тройку Cisco, которая показала выручку около $535,9 млн и заняла 12,7 % отрасли. В первую пятёрку также вошли Check Point и Huawei, которые получили за три месяца соответственно $315,8 млн и $145,0 млн, заняв 7,5 % и 3,4 % глобального рынка.

Компании Mandiant (принадлежит Google Cloud) и Barracuda Networks, по сообщению ресурса ComputerWeekly, подтвердили, что взлом шлюзов Barracuda Email Security Gateway (ESG) осуществили китайские хакеры, действующие в интересах правительственных структур КНР. В июне Barracuda Networks проинформировала клиентов о том, что устранить дыру невозможно, а поэтому затронутые шлюзы необходимо попросту выкинуть.

В мае нынешнего года Barracuda Networks сообщила о том, что злоумышленники использовали уязвимость «нулевого дня» для взлома устройств ESG. Брешь CVE-2023-2868 позволяет удалённо выполнять произвольный код. В число жертв вошли Samsung, Delta Airlines, Mitsubishi и Kraft Heinz. Позднее компания установила связь атаковавшей шлюзы хакерской группы с Китаем. Этой киберкоманде присвоено название UNC4841. Говорится, что целями UNC4841 стали в основном правительственные структуры в США и Канаде, а также в Великобритании. По данным ФБР, к Сети всё еще подключены уязвимые шлюзы ряда организаций, но повторные атаки не наблюдаются.

Источник изображения: pixabay.com

Mandiant сообщает, что группировка UNC4841 пытается сохранить доступ к наиболее важным скомпрометированным средам с помощью нескольких вредоносных программ — Skipjack, Depthcharge, Foxtrot и Foxglove. Первые три являются бэкдорами, тогда как Foxglove выступает в качестве средства запуска Foxtrot. По оценкам, немногим более 15 % жертв являются правительственными структурами, а чуть более 10 % — местными органами власти. Атака также затронула IT-компании и организации, работающие в таких сферах, как телекоммуникации, производство, образование, аэрокосмическая и оборонная отрасли. Mandiant заявляет, что UNC4841 проводит шпионские операции именно в пользу китайского государства.

Разработчик решений для обеспечения безопасности Bishop Fox LLC выпустил в минувшую в пятницу предупреждение о том, что сотни тысяч межсетевых экранов Fortinet Inc. остаются уязвимыми для атак, поскольку не получили патчи после раскрытия критической уязвимости в июне.

Уязвимость CVE-2023-27997 относится к типу багов, связанных с переполнением буфера (heap-based buffer overflow). Её обнаружили в ОС FortiOS. Уязвимость оценивается как критическая — 9,8 балла из 10 возможных по шкале CVSS. Благодаря ей злоумышленник может осуществлять удалённое выполнение кода на уязвимом устройстве с интерфейсом SSL VPN, доступном из Сети.

Fortinet выпустила обновления FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5, где уязвимость была устранена. Однако, как выяснила Bishop Fox, администраторы пренебрегли призывами установить патчи, так что более 300 тыс. брандмауэров FortiGate (69 % от 490 тыс. из обнаруженных в Сети) по-прежнему уязвимы для потенциальных эксплойтов.

Изображение: Bishop Fox

Чтобы продемонстрировать риск, связанный с уязвимостью, команда Bishop Fox разработала эксплойт, который запускает удалённое выполнение кода, компрометирующего целевую систему, позволяя ей обратно подключиться к серверу, контролируемому злоумышленником. Эксплойт предоставляет интерактивную оболочку на целевом устройстве.

Исследователи Bishop Fox настоятельно рекомендуют всем владельцам Fortinet FortiGate как можно скорее установить исправление, чтобы избежать опасности взлома системы. Им вторят эксперты из других компаний, занимающихся вопросами информационной безопасности.

Специалисты по кибербезопасности из принадлежащей Google Cloud компании Mandiant, привлечённой Barracuda для расследования обстоятельств взлома устройств Barracuda Email Security Gateway (ESG), установили связь атаковавшей шлюзы хакерской группы с Китаем. Этой группе компания присвоила название UNC4841. Barracuda настоятельно рекомендует избавиться от взломанных ESG, обещая бесплатно предоставить замену.

По словам Чарльза Кармакала (Charles Carmakal), технического директора Mandiant Consulting, кампания по кибершпионажу была самой масштабной со времён хакерских атак с использованием бага в Microsoft Exchange Server в начале 2021 года. «В случае с Barracuda злоумышленники взломали средства защиты электронной почты сотен организаций. У части жертв они украли электронные письма известных сотрудников, занимающихся вопросами, представляющими интерес для китайского правительства», — добавил он.

По данным Mandiant, UNC4841 поддерживается государством и выполняет разведывательные задачи для китайского правительства. Также были обнаружены точки пересечения UNC4841 с инфраструктурой, приписываемой другим китайским субъектам шпионажа, что указывает на то, что Пекин использует объединенный подход к своим операциям по взлому. «Mandiant с высокой уверенностью полагает, что UNC4841 вела шпионскую деятельность в поддержку Китайской Народной Республики», — сообщили исследователи в отчёте.

Источник изображения: Barracuda Networks

Mandiant отметила, что хакеры изменили свое вредоносное ПО вскоре после выпуска патча в мае. Кроме того, они задействовали дополнительные механизмы, чтобы сохранить доступ к сетям жертв. После взлома сетей хакеры нацеливались на конкретные данные, «представляющие интерес для эксфильтрации», а также попытались использовать скомпрометированные компоненты для заражения других систем.

В ходе семимесячной кампании UNC4841 использовала три вредоносные программы — Saltwater, Seaspy и Seaside, замаскированные под модули или сервисы Barracuda ESG. После своего раскрытия UNC4841 занялась модификацией некоторых компонентов Saltwater и Seaspy, чтобы предотвратить эффективное исправление уязвимостей. Компания также запустила новый руткит в виде модуля ядра Linux, получившего название Sandbar, которым троянизировал некоторые официальные модули Barracuda.

«UNC4841 продемонстрировала высокую чувствительность к оборонительным усилиям и активно модифицирует TTP для поддержания их функционирования. Mandiant настоятельно рекомендует пострадавшим клиентам Barracuda продолжать поиск этого субъекта и исследовать затронутые сети», — сообщили исследователи.

Поставщик ИБ-решений Barracuda Networks заявил, что клиентам необходимо немедленно заменить затронутые эксплойтом шлюзы Email Security Gateway (ESG), даже если те установили все доступные патчи. При этом компания пообещала оказывать клиентам, в числе которых Samsung, Delta Airlines, Mitsubishi и Kraft Heinz, необходимую помощь в замене ESG.

Шлюзы ESG предназначены для защиты входящего и исходящего трафика электронной почты. Они доступны как в виде физических серверов, так и в виде программных комплексов, в том числе в AWS и Microsoft Azure. Уязвимость в ESG была обнаружена в мае этого года. 18 мая компания заявила о том, что обратилась за помощью к Mandiant, специализирующейся на сложных кибератаках, после того как был обнаружен аномальный трафик, направлявшийся с устройств ESG.

Изображение: Barracuda Networks

19 мая в устройствах была выявлена критическая уязвимость нулевого дня CVE-2023-2868, позволявшая хакерам удалённо выполнять произвольный код на шлюзах ESG. Уязвимость затрагивает версии ПО ESG с 5.1.3.001 по 9.2.0.006, позволяя злоумышленнику добиться удалённого выполнения кода (RCE) с повышенными привилегиями. Расследование Mandiant и Barracuda показало, что уязвимость активно используется хакерами с октября 2022 года.

Было установлено, что уязвимость использовалась для получения несанкционированного доступа к множеству шлюзов ESG, на которых сначала размещались бэкдоры Saltwater и Seaspy, а затем модуль Seaside, отслеживающий входящий трафик и устанавливающий оболочку для выполнения команд на удалённом сервере. Всё вместе это даёт возможность хакеру сохранять доступ к серверу или шлюзу даже после устранения уязвимости основного ПО с помощью патча.

20–21 мая компания выпустила патчи против уязвимости, однако это не дало результата, поскольку злоумышленники оставили вредоносное ПО на затронутых системах, которое продолжало действовать. «Если вы не заменили своё устройство после получения уведомления в пользовательском интерфейсе, обратитесь в службу поддержки сейчас, — сообщила компания клиентам. — Рекомендация Barracuda по исправлению в настоящее время заключается в полной замене затронутых ESG».

Изображение: Barracuda Networks

По словам Rapid7, решение о полной замене «подразумевает, что вредоносное ПО, установленное злоумышленниками, каким-то образом достигает устойчивости на достаточно низком уровне, так что даже очистка устройства не уничтожит доступ к нему злоумышленника». К Сети может быть подключено до 11 тыс. устройств ESG — Rapid7 выявила значительные объёмы вредоносной активности в те же сроки, о которых сообщила Barracuda.

В дополнение к прекращению использования и замене уязвимых устройств ESG компания Barracuda рекомендовала клиентам немедленно обновить учётные данные любых устройств или служб, подключавшихся к ESG. Также было предложено провести проверку сетевых журналов, которая может помочь выявить любое потенциальное вторжение.

Компания Axiomtek анонсировала шлюз iNA200, предназначенный для обеспечения кибербезопасности на периферии, в сфере промышленного Интернета вещей (IIoT) и пр. Новинка заключена в корпус повышенной прочности, а диапазон рабочих температур простирается от -40 до +70 °C. Задействована система пассивного охлаждения: ребристая поверхность корпуса, сделанного из алюминия и стали, выполняет функции радиатора.

Источник изображений: Axiomtek

Применена аппаратная платформа Intel Elkhart Lake. Может быть установлен процессор Atom x6212RE (два ядра; 1,2 ГГц) или x6414RE (четыре ядра; 1,5 ГГц). Есть поддержка модулей TPM 2.0. Говорится о совместимости с платформами Windows 10 и Linux.

Устройство может нести на борту до 32 Гбайт памяти DDR4-3200 (модуль SO-DIMM), накопитель SFF с интерфейсом SATA 3.0 и флеш-модуль eMMC (опционально). Имеются слоты расширения M.2 Key B 3042/3052 (PCIe + USB) и PCIe Mini (USB + SATA), что позволяет добавить, например, модуль 5G или Wi-Fi/Bluetooth. Есть по два сетевых порта 1GbE (Marvell 88E1512; LAN Bypass), 2.5GbE (Intel I225-IT; LAN Bypass и TSN) и 1GbE SFP (Intel I210-IS), а также порт управления.

Шлюз iNA200 предназначен для монтажа на DIN-рейку. Габариты составляют 66 × 127 × 150 мм, вес — 1,5 кг. В набор разъёмов входят интерфейс HDMI (выведен на торец корпуса), два порта USB 3.0, а также последовательные порты RS-232/422/485 типа DB9 и RS-485. Используется DC-питание 9–36 В (типовое значение 12/24 В) с возможностью резервирования. Защиту обеспечивают системы OVP, UVP, OCP, RPP.

Компания Arduino уже экспериментировала с LoRaWAN в плате MKR WAN 1300, а сейчас вернулась к идее таких сетей на более глубоком уровне. Она представила LoRaWAN-шлюзы Wisgate Edge Pro и Wisgate Edge Lite 2, предназначенные для использования в открытой среде и внутри помещений соответственно. Эти новинки пополнили серию продуктов Arduino Pro.

Аналогичные решения предлагаются под брендом Rakwireless. Собственно говоря, выпуск моделей WisGate Edge Lite 2 и WisGate Edge Pro под маркой Arduino Pro как раз и является плодом соглашения между Rakwireless и Arduino. Более того, последняя планирует продавать и другие разработки Rakwireless, дабы расширить пользовательскую базу.

Источник: Arduino

Начинка новинок включается SoC MediaTek MT7628 с архитектурой MIPS и частотой 580 МГц, сетевая часть представлена стандартным портом 100 Мбит/с и Wi-Fi 802.11n (только 2,4 ГГц), поддержка LTE опциональна. Часть, отвечающая за LoRaWAN, базируется на чипе Semtech SX1302, установленным на плате mini-PCIe. Поддерживается 8 каналов, доступны диапазоны EU868 и US915 или AS923 и AU915 (в зависимости от региона).

Источник: Arduino

Версия Lite 2 имеет разъём RP-SMA для подключения антенны, а вот версия Pro имеет две внешние антенны с коэффициентом усиления 5 дБ, а также использует 16-канальный вариант SX1302. Здесь в дополнение к LTE доступна поддержка GPS. Более подробные спецификации на сайте Arduino пока отсутствуют, но они есть на сайте Rakwireless как для продвинутой, так и для базовой модели.

У версии Arduino будет UI с соответствующим дизайном. Источник: Arduino

Оба устройства могут питаться посредством PoE (36–57 В) или от внешнего БП 12 Вт, а в версии Pro возможно питание от солнечной панели. Кроме того, последняя имеет пылевлагозащиту по стандарту IP67 и может работать в диапазоне температур от -30 до +55 °C.

Новинки работают под управлением фирменной ОС WisgateOS 2, которая является уходит корнями к OpenWrt. На сайте Arduino информация по новым продуктам пока ограниченная, но можно ожидать, что их стоимость будет аналогична таким же устройствам, реализуемым под брендом RAKwireless — сейчас просят от $139 за базовую версию и от $372 за продвинутую. Там же доступна подробная техническая информация.

Компания «Информационные технологии и коммуникационные системы» («ИнфоТеКС»), занимающаяся разработкой VPN-решений и средств криптографической защиты информации, сообщила о получении положительного заключения Федеральной службы безопасности РФ на программно-аппаратный комплекс ViPNet L2-10G.

ViPNet L2-10G представляет собой шлюз безопасности, обеспечивающий шифрование данных в канале Ethernet (тёмная оптика, MAN, WAN, выделенный канал). Решение поддерживает Unicast-, Multicast-, Broadcast-трафик и шифрование данных с использованием алгоритмов, регламентированных ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015. При этом скорость шифрования трафика достигает 20 Гбит/с (10 Гбит/с в режиме дуплекс). Устройство выполнено в форм-факторе 1U, а его корпус спроектирован с учётом требований к защите от физического несанкционированного доступа: реализована защита от вскрытия злоумышленниками и энергонезависимое хранилище ключей шифрования.

Выданный ФСБ России сертификат удостоверяет, что ViPNet L2-10G соответствует требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса KB.

Сертификат действителен до июня 2024 года. Дополнительные сведения о продукте можно найти на сайте компании-разработчика.

Компания Eltex сообщила об успешном тестировании и организации серийного производства VoIP-шлюза TAU-8N.IP корпоративного уровня. Устройство поможет подключить аналоговое телефонное оборудование к локальной VoIP-сети и объединить её с географически удалёнными VoIP-инфраструктурами. Возможна работа как в режиме изолированной офисной мини-АТС, так и интеграция с IP PBX.

Новинка оснащена четырёхъядерным процессором Amlogic, двумя Ethernet-портами RJ-45 10/100 Мбит/с (один для подключения, второй для управления), разъёмом USB для подключения накопителя с томом FAT/FAT32/NTFS и восемью портами FXS. В оснащение входят 512 Мбайт оперативной памяти и флеш-модуль такой же ёмкости. Технология хранения двух образов прошивки Dual Image повышает надёжность. Габариты составляют 208 × 38 × 115 мм, вес — 0,3 кг. Диапазон рабочих температур простирается от +5 до +40 °С. Энергопотребление не превышает 14 Вт.

Источник изображений: Eltex

Обеспечивается поддержка до пяти локальных трёхсторонних конференций. Высокое качество передачи голоса обеспечивается применением основных для VoIP-сетей аудиокодеков и механизмов приоритизации трафика QoS, а также поддержкой функций эхокомпенсации, детектора речевой активности, генератора комфортного шума, приёма и генерации сигналов DTMF. Новинка предлагает кодеки G.711 (a-law, µ-law), G.723.1 и G.729 (А/B). Передача факсимильных сообщений возможна благодаря поддержке G.711 pass-through и протоколу T.38.

Поддерживается гибкий план нумерации для FXS-портов и SIP-профилей, dialplan'ы, групповые вызовы, различные варианты переадресации, удержание и передача вызовов и т.д. Поддерживается DHCP (Option 120 и др.), PPPoE, VLAN, статическая маршрутизация. Защита обеспечивается встроенным брандмауэром, парольным доступом и разграничением прав. Управляется устройство через веб-интерфейс, а также посредством SSH, Telnet или TR-069.

Работающая в сфере информационной безопасности компания «РТК-Солар» выпустила новую версию шлюза веб-безопасности Solar webProxy 3.8.

Solar webProxy относится к классу SWG-решений (Secure Web Gateways). Программный комплекс подключается к корпоративной сети (в том числе «в разрыв трафика») и отслеживает все данные, передаваемые между сотрудниками или внутренними ресурсами организации и интернет-ресурсами. Продукт обеспечивает контроль доступа персонала и используемых приложений к онлайновым сервисам, а также защищает веб-трафик от вредоносного ПО и навязчивой рекламы.

Схема работы Solar webProxy

Новая версия шлюза веб-безопасности Solar webProxy 3.8 дополнена модулем системы обнаружения вторжений Suricata, в который встроен сигнатурный анализ трафика. Это позволяет в режиме реального времени отслеживать передаваемые пакеты, сравнивать их с известными классами угроз и оперативно принимать меры по их устранению. Также в продукте реализованы средства автоматизированного реагирования на проблемы фильтрации, специальная база данных для мониторинга показателей работы шлюза и справка по работе со слоями политики. Отдельное внимание уделено доработкам раздела «Политика» и настроек журналирования.

Solar webProxy внесён в единый реестр отечественного ПО и рекомендован к приобретению в рамках закупок по программе импортозамещения. Идёт процесс получения сертификата ФСТЭК России на новую версию продукта.