19.05.2022

Solar JSOC CERT советует срочно обновить VipNet Client от «ИнфоТеКС» – обнаружены недостатки в безопасности

к списку новостей
Центр расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» выявил недостатки безопасности в ПО для защиты рабочих мест – VipNet Client компании «ИнфоТеКС». Недостатки обнаружены в ходе расследования продвинутой кибератаки. С их помощью злоумышленники могут заражать систему любым вирусом, например, для последующей кражи, удаления или шифрования чувствительных данных. Вендор уже выпустил новую версию продукта, закрывающую данную проблему, – эксперты настоятельно рекомендуют компаниям обновиться.

При расследовании целевой кибератаки на одну из организаций специалисты Solar JSOC CERT обнаружили, что в составе используемого заказчиком продукта VipNet есть исполняемый файл, который имеет цифровую подпись вендора и подвержен уязвимости типа DLL Hijacking (она дает возможность заменять легитимный DLL-файл на вредоносную библиотеку). Этот факт позволил злоумышленникам использовать механизм обновления ПО для удаленного управления рабочими станциями. Для этого в центре управления сетью (VipNet Administrator) хакеры формировали поддельный файл обновления, содержащий вредоносный код, и отправляли его на конечные устройства, подключенные к защищенной сети.

Загружаемое злоумышленниками вредоносное ПО, в частности, собирало с рабочих станций данные почтовой переписки и пользовательские текстовые файлы, а также информацию о хостах, ключах шифрования, настройках и др.

Еще один недостаток в безопасности VipNet Client связан с возможностью обхода фильтров в компоненте «Контроль приложений». Этот компонент позволяет следить за сетевой активностью приложений и корректировать ее, создавая блокирующие правила. Однако злоумышленники смогли их обойти, отправляя команды напрямую драйверу и разрешая, например, системе выход в интернет. Благодаря этому хакеры получили возможность передавать все собранные данные на внешнюю подконтрольную им систему.

Примечательно, что логи всех действий злоумышленников автоматически удалялись специальным вредоносом, что значительно затрудняло расследование.

«Атака, в ходе которой мы обнаружили данные недостатки безопасности, проводилась злоумышленниками самой высокой квалификации. Вредоносная активность была нами своевременно заблокирована, однако выявить ее удалось только благодаря мониторингу и нетривиальной корреляции событий ИБ, так как хакеры тщательно зачищали следы и обходили системы контроля. Именно поэтому всем организациям, которые используют сегодня VipNet Client, необходимо максимально оперативно обновить версию программного продукта, независимо от наличия или отсутствия подозрений на инцидент», – подчеркнул Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар».

ДРУГИЕ НОВОСТИ

Представлен Solar webProxy 3.8 с системой предотвращения вторжений и улучшенным пользовательским опытом 30.06.2022
Представлен Solar webProxy 3.8 с системой предотвращения вторжений и улучшенным пользовательским опытом

Компания «РТК-Солар» представила новую версию шлюза веб-безопасности Solar webProxy 3.8. Решение обеспечивает контроль доступа приложений к веб-ресурсам и защиту веб-трафика. В обновление вошла система предотвращения вторжений (Intrusion Prevention System, IPS), автоматизированное реагирование на проблемы фильтрации, специальная база данных для мониторинга показателей работы системы, справка по работе со слоями политики, модернизация раздела «Политика» и настроек журналирования.

...
«РТК-Солар»: более половины российских пользователей не соблюдают базовые требования безопасности паролей 29.06.2022
«РТК-Солар»: более половины российских пользователей не соблюдают базовые требования безопасности паролей
Представлены результаты исследования защищенности паролей от личных и рабочих аккаунтов россиян ...

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах