BI.Zone Web Application Firewall (WAF)

Основаная статья: Межсетевой экран (Firewall)

BI.ZONE Web Application Firewall (WAF) — сервис под управлением экспертов для защиты веб-приложений и API. Блокирует кибератаки прикладного уровня, противодействует ботнет-активности, а также выявляет и закрывает уязвимости веб-приложений. В рамках сервиса команда BI.Zone берет на себя полный цикл экспертной поддержки, включающий работу с механизмами защиты, мониторинг инфраструктуры и реагирование на инциденты.

2024: Защита от уязвимостей в JetBrains TeamCity

Компания BI.ZONE обновила библиотеку детектирующих правил сервиса BI.ZONE WAF, чтобы защитить пользователей программного обеспечения JetBrains TeamCity от уязвимостей, которые могут быть использованы злоумышленниками для получения доступа к конфиденциальным данным. Об этом разработчик сообщил 12 марта 2024 года.

О двух уязвимостях в инструменте для автоматизации процессов CI/CD и совместной разработки ПО JetBrains TeamCity стало известно в конце февраля 2024 года. Они связаны с веб-компонентом TeamCity On-Premises CI/CD и затрагивают все версии продукта до 2023.11.3 включительно. Разработчики JetBrains TeamCity уже устранили уязвимости в обновлении 2023.11.4.

CVE-2024-27198 (BDU:2024-01792) — 9,8 из 10 баллов по шкале CVSS

Критическая уязвимость, которая позволяет злоумышленнику создавать нового пользователя с правами администратора без прохождения процессов аутентификации и авторизации. Благодаря этому атакующий может получить полный контроль над средой.Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.9 т

CVE-2024-27199 — 7,3 из 10 баллов по шкале CVSS

С помощью этой уязвимости атакующий может использовать технику path traversal, чтобы без аутентификации получить несанкционированный доступ к определенным файлам конфигурации TeamCity. Таким образом, посторонний без какой-либо аутентификации способен узнать о проектах в разработке и их статусах, а также получить другую критически важную информацию.

Чтобы избежать риска компрометации, необходимо установить обновление. Если организация по каким-то причинам не готова в кратчайшие сроки перейти на последнюю версию JetBrains TeamCity, BI.ZONE WAF поможет в защите от атак с эксплуатацией. Защитные правила контролируют передаваемые параметры HTTP-запросов. Если в HTTP-запросе будут обнаружены аномалии, BI.ZONE WAF заблокирует его автоматически. Защиту от уязвимости CVE-2024-27199 обеспечивает классическое правило для борьбы с атаками типа path traversal.

Кроме того, специалисты по анализу защищенности BI.ZONE разработали правила для сервиса BI.ZONE CPT. Они позволяют сканеру определять уязвимые версии TeamCity у клиентов.

После обнародования информации о CVE-2024-27198 и CVE-2024-27199 наши эксперты оперативно разработали правила защиты. Они уже действуют для всех клиентов и не требуют никаких дополнительных действий. О попытках эксплуатации пользователь может узнать из журнала событий личного кабинета, где отобразится информация о заблокированном запросе и его отправителе. Пользователь сможет получить информацию о том, с какого IP-адреса и из какой страны была проведена атака, какой браузер при этом использовался, а также другие данные для анализа атаки и отчетности, рассказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

BI.ZONE WAF обеспечивает многоуровневую защиту веб‑приложений и API, противодействует ботнет‑активности и выявляет уязвимости. Сервис может использоваться для защиты веб‑приложений значимых объектов критической информационной инфраструктуры, государственных информационных систем и информационных систем персональных данных.

2023

Защита от уязвимости в WordPress

Правила BI.ZONE WAF позволяют защититься от атак с эксплуатацией уязвимости CVE-2023-6063 в WordPress-плагине WP Fastest Cache. Об этом компания BI.Zone сообщила 22 ноября 2023 года.

Об уязвимости CVE-2023-6063 стало известно 13 ноября 2023 года. Она затрагивает плагин WP Fastest Cache, который позволяет сохранять статические файлы в кеше, что ускоряет загрузку страниц сайта. Угрозу оценили в 8,6 балла из 10 по шкале CVSS.

Уязвимости подвержены все версии плагина WP Fastest Cache до 1.2.2. Разработчики устранили проблему в обновлении, однако все версии ПО до 1.2.2 остаются уязвимыми. Статистика установок с WordPress.org показывает, что плагин используется более чем на 1 млн сайтов, работающих с системой управления контентом (CMS) WordPress. При этом уязвимые версии на момент публикации новости установлены более чем на половине сайтов.

Эксплуатация уязвимости позволяет злоумышленникам без аутентификации читать содержимое баз данных сайта, выполнив инъекцию SQL-запроса в параметре wordpress_logged_in HTTP-заголовка Cookie. Базы данных WordPress могут содержать такую информацию о пользователях, как Ф. И. О., email-адреса, пароли, данные банковских карт, номера телефонов. Ее компрометация может привести к репутационным и финансовым потерям для компании. Кроме того, атакующие могут внедрить вредоносный код в базу данных, который затем может использоваться для получения контроля над управлением сайтом.

Несмотря на то что разработчики плагина для WordPress уже выпустили обновление, в котором уязвимость устранена, не все компании готовы оперативно переходить на новую версию. Чтобы обеспечить безопасность баз данных сайтов, организации могут использовать наложенные средства защиты. Так, механизмы обнаружения SQL-инъекций BI.ZONE WAF позволяют анализировать HTTP-заголовки и их параметры, разбивая все элементы на токены и выполняя сигнатурный поиск нелегитимных метрик. Благодаря этому новые правила предотвращают эксплуатацию уязвимости, не нарушая работу веб-приложений, — рассказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

Добавление правил, для защиты от уязвимости CVE-2023-22515

Компания BI.ZONE обновила библиотеку детектирующих правил сервиса BI.ZONE Web Application Firewall (WAF), чтобы защитить пользователей Confluence от критической уязвимости CVE-2023-22515 (оценка угрозы по шкале CVSS — 10 баллов из 10). С начала октября злоумышленники активно эксплуатируют эту уязвимость для несанкционированного доступа к системам хранения корпоративных знаний. Об этом компания сообщила 19 октября 2023 года.

CVE-2023-22515 затрагивает решения Confluence Server и Confluence Data Center и распространяется на версии от 8.0.0 до 8.5.1. Ошибка в логике работы веб-приложения позволяет киберпреступникам создавать учетные записи администраторов Confluence и впоследствии удаленно выполнять на сервере программный код.

Уязвимость не затрагивает Confluence Data Center и Server версий до 8.0.0, поэтому их пользователям не нужно принимать дополнительных мер для защиты.

На октябрь 2023 года в публичном доступе существует как минимум 5 реализаций PoC (proof of concept), позволяющих эксплуатировать эту уязвимость.

Команды BI.ZONE WAF и исследования анализа защищенности совместно проэмулировали эксплуатацию уязвимости CVE-2023-22515 и подготовили правила для защиты от возможных атак. На октябрь 2023 года известно как минимум о двух группировках, эксплуатирующих эту уязвимость. Поэтому правила будут актуальны для организаций, которые по каким-либо причинам пока не могут обновить Confluence до защищенных версий 8.3.3, 8.4.3, 8.5.2 или новее. сказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

Базовые правила BI.ZONE WAF для защиты от уязвимости доступны всем пользователям. При необходимости специалисты BI.ZONE также настраивают дополнительные, более тонкие правила, учитывающие специфику веб-приложений конкретной компании и их бизнес-логику.

Добавление правил, защищающих «1C-Битрикс» от уязвимостей в модуле landing

Исследователи BI.ZONE проэмулировали эксплуатацию уязвимости в системе управления содержимым сайтов «1C-Битрикс». После анализа эксплойта эксперты разработали правила для BI.ZONE WAF, позволяющие защититься от атак с эксплуатацией уязвимости в модуле landing. Предложенное решение не нарушает работу сайтов. Об этом компания BI.Zone сообщила 11 октября 2023 года.

О критической уязвимости BDU:2023-05857 стало известно в сентябре 2023 года. Она затрагивает модуль landing системы управления содержимым сайтов (CMS) «1С-Битрикс», который используется в конструкторе «Сайты 24». Эксплуатация уязвимости позволяет нарушителю выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть. Угроза получила высшую оценку по шкале CVSS — 10 баллов.

Разработчики «1С-Битрикс» устранили уязвимость в обновленной версии CMS (23.850.0). Однако не все компании готовы проводить обновления в короткий срок после выхода патчей.

Если организация по какой-то причине не перешла на обновленную версию «1С-Битрикс», BI.ZONE WAF поможет защитить от атак с эксплуатацией. Разработанные правила позволяют BI.ZONE WAF анализировать поля запроса, характерные для подобных атак, и целенаправленно блокировать вредоносные обращения, не мешая работе сайта. Клиентам предлагается набор из нескольких правил, чтобы они могли выбрать вариант, который наиболее подходит для их бизнеса. Для этого следует обратиться в техническую поддержку BI.ZONE WAF.

В BI.ZONE команды offense и defense работают сообща: исследователи анализа защищенности разработали эксплойт для атаки на уязвимое приложение, передав экспертам BI.ZONE WAF информацию по техникам эксплуатации уязвимости. Благодаря этому были написаны точечные правила защиты, не нарушающие работу логики приложений. На октябрь 2023 года в публичном доступе нет эксплойта. С одной стороны, это значит, что злоумышленники не могут массово применить его для атак. С другой стороны, те, кому нужна защита, не понимают, как закрыть уязвимость. Это непонимание и высокая степень угрозы привели к тому, что многие компании закрывают доступ к модулю landing в "1С-Битрикс" по URL и теряют часть функциональности. Чтобы не допустить этого, мы рекомендуем обязательно выполнить обновление ПО и использовать дополнительные средства защиты, такие как BI.ZONE WAF,— отметил Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

Получение сертификата ФСТЭК России

3 февраля 2023 года компания BI.Zone сообщила о том, что теперь сервис BI.ZONE WAF могут использовать российские информационные системы, требующие обязательной сертификации средств защиты информации (СЗИ) в системе ФСТЭК России.

Межсетевой экран BI.ZONE WAF предназначен для многоуровневой защиты веб-приложений от кибератак. Разработка прошла сертификационные испытания ФСТЭК России и теперь может использоваться для защиты критически важных систем.

BI.ZONE WAF позволяет блокировать кибератаки, противодействовать ботнет-активности и закрывать уязвимости веб-приложений. Сервисом управляет команда специалистов, которые настраивают его под особенности приложения и помогают в решении инцидентов.

Наличие сертификата подтверждает, что BI.ZONE WAF относится к межсетевым экранам типа «Г», имеет 4-й класс защиты и соответствует 4-му уровню доверия. Это значит, что решение можно применять для защиты веб-приложений значимых объектов критических информационных инфраструктур (КИИ) до 1-й категории включительно. А также использовать его в тех системах, где требуется 1-й класс или уровень защищенности: государственные информационные системы (ГИС), автоматические системы управления технологическим процессом (АСУ ТП), информационные системы персональных данных (ИСПДн). Теперь BI.ZONE WAF может защищать, например, веб-ресурсы, хранящие биометрические данные, или принадлежащие федеральным органам исполнительной власти.

Количество кибератак на государственные, финансовые и другие информационные системы существенно возросло. Это, а также массовый отток зарубежных вендоров и ужесточившиеся требования к защите персональных данных, заставило участников рынка пересмотреть используемые ранее средства защиты. Межсетевой экран можно назвать ключевым элементом безопасности веб-ресурсов. BI.ZONE WAF — полностью российское решение такого класса. Сервис можно использовать для противодействия киберугрозам в системах обработки данных, которые требуют обязательного наличия СЗИ, сертифицированных ФСТЭК России, прокомментировал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

2022: Блокировка атак веб-приложения клиентов «ТрансТелеКом»

Сервис WAF на базе решений BI.Zone позволит компании ТрансТелеКом выявлять и блокировать атаки на веб-приложения заказчиков. Об этом компания BI.Zone сообщила 21 апреля 2022 года.

Решение обеспечивает многоуровневую защиту веб-сервисов и API, противодействует ботнет-активности, выявляет уязвимости в веб-приложениях. При этом его облачная реализация позволит заказчикам оптимизировать расходы. Во-первых, не потребуется закупать и обслуживать оборудование для работы сервиса: отказоустойчивая сеть фильтрации развернута в облаке BI.ZONE. Во-вторых, не придется искать ресурсы на администрирование WAF — за это будут отвечать ТрансТелеКом совместно с BI.ZONE.

Вопрос безопасности приложений для наших клиентов решается по сервисной модели, под ключ. Технические специалисты по управлению решением WAF готовы создать индивидуальный профиль защиты исходя из требований заказчика, будут следить за инцидентами 24/7 и реагировать на них. Кроме того, мы можем настроить интеграцию с услугой защиты от DDoS-атак, при этом обеспечить круглосуточную поддержку, гарантию соблюдения SLA и экономию. Именно комплексный подход к кибербезопасности способен защитить критически важные интернет-сервисы наших клиентов, — подчеркнул директор по продуктам Компании ТрансТелеКом Алексей Зорин.

WAF на основе разработки BI.ZONE — полностью российское решение, отвечающее высоким требованиям к продуктам такого класса. Он предотвращает все виды атак, блокирует попытки злоумышленников похитить конфиденциальные данные, подобрать пароли или изменить содержание сайта. Способен защитить веб-приложения заказчиков ТрансТелеКом, даже если они содержат уязвимости — WAF оперативно их обнаружит и не позволит злоумышленникам ими воспользоваться, — отметил директор по росту BI.ZONE Рустэм Хайретдинов.

Сервис BI.ZONE WAF включен в реестр отечественного ПО.

2021

Запуск совместно с МТС сервиса MTS WAF Premium

15 ноября 2021 года компания «МТС», российская компания по предоставлению цифровых, медийных и телекоммуникационных сервисов, сообщила о запуске провайдером CloudMTS совместно с компанией BI.Zone комплексного сервиса по многоуровневой защите веб-приложений. Облачный сервис MTS WAF Premium обеспечивает комплексную защиту от кибератак, включая анализ потенциальных уязвимостей, мониторинг и реагирование на угрозы в круглосуточном режиме, поддержку работы системы. Решение позволит бизнесу и госструктурам избежать ручной настройки и, по утверждению компании, минимум вдвое сэкономить на киберзащите сайтов и мобильных приложений. Подробнее здесь.

Включение в реестр российского ПО

23 апреля 2021 года компания по стратегическому управлению цифровыми рисками BI.Zone объявила о внесении ряда своих продуктов в реестр российского ПО. В Единый реестр российских программ для электронных вычислительных машин и баз данных так же включен BI.Zone WAF. Подробнее здесь.