Solar JSOC CERT советует срочно обновить VipNet Client от «ИнфоТеКС» – обнаружены недостатки в безопасности

Центр расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» выявил недостатки безопасности в ПО для защиты рабочих мест – VipNet Client компании «ИнфоТеКС». Недостатки обнаружены в ходе расследования продвинутой кибератаки. С их помощью злоумышленники могут заражать систему любым вирусом, например, для последующей кражи, удаления или шифрования чувствительных данных. Вендор уже выпустил новую версию продукта, закрывающую данную проблему, – эксперты настоятельно рекомендуют компаниям обновиться.

При расследовании целевой кибератаки на одну из организаций специалисты Solar JSOC CERT обнаружили, что в составе используемого заказчиком продукта VipNet есть исполняемый файл, который имеет цифровую подпись вендора и подвержен уязвимости типа DLL Hijacking (она дает возможность заменять легитимный DLL-файл на вредоносную библиотеку). Этот факт позволил злоумышленникам использовать механизм обновления ПО для удаленного управления рабочими станциями. Для этого в центре управления сетью (VipNet Administrator) хакеры формировали поддельный файл обновления, содержащий вредоносный код, и отправляли его на конечные устройства, подключенные к защищенной сети.

Загружаемое злоумышленниками вредоносное ПО, в частности, собирало с рабочих станций данные почтовой переписки и пользовательские текстовые файлы, а также информацию о хостах, ключах шифрования, настройках и др.

Еще один недостаток в безопасности VipNet Client связан с возможностью обхода фильтров в компоненте «Контроль приложений». Этот компонент позволяет следить за сетевой активностью приложений и корректировать ее, создавая блокирующие правила. Однако злоумышленники смогли их обойти, отправляя команды напрямую драйверу и разрешая, например, системе выход в интернет. Благодаря этому хакеры получили возможность передавать все собранные данные на внешнюю подконтрольную им систему.

Примечательно, что логи всех действий злоумышленников автоматически удалялись специальным вредоносом, что значительно затрудняло расследование.

«Атака, в ходе которой мы обнаружили данные недостатки безопасности, проводилась злоумышленниками самой высокой квалификации. Вредоносная активность была нами своевременно заблокирована, однако выявить ее удалось только благодаря мониторингу и нетривиальной корреляции событий ИБ, так как хакеры тщательно зачищали следы и обходили системы контроля. Именно поэтому всем организациям, которые используют сегодня VipNet Client, необходимо максимально оперативно обновить версию программного продукта, независимо от наличия или отсутствия подозрений на инцидент», – подчеркнул Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар».