Dionis-NX-серия

Программно-аппаратные комплексы Дионис NX предназначены для использования в роли маршрутизаторов, криптомаршрутизаторов, межсетевых экранов и систем обнаружения и предотвращения вторжений. Все функциональные возможности, соответствующие определенным ролям, полностью реализованы в рамках единого программного обеспечения, установленного на каждом изделии Дионис NX.

2025: Российский NGFW Dionis-NX можно взломать с помощью инъекции команд. Есть эксплойт

ФСТЭК в двадцатых числах сентября разослала предупреждение об обнаружении критической уязвимости BDU:2025-05696^[1] в межсетевом экране Dionis-NX производства российской компании «Фактор-ТС». Уязвимость имеет критический уровень опасности — 9.8 из 10 возможных. ФСТЭК отмечает наличие эксплойта для обнаруженной уязвимости.

Производитель выпустил исправления уязвимости с версией 2.0-5 (сборка от 09.08.2025), на которую эксперты ведомства рекомендуют перейти всем пользователям продукта.

𝓲

Фото: Ideogram

Межсетевой экран Dionis-NX может быть использован в роли маршрутизаторов, криптомаршрутизаторов, межсетевых экранов, систем обнаружения и предотвращения вторжений, то есть может быть отнесен к классу межсетевых экранов нового поколения (NGFW). Все функциональные возможности, соответствующие определенным ролям, реализованы в рамках единого программного обеспечения, установленного на каждом изделии Dionis-NX в виде программно-аппаратного комплекса (ПАК), однако ПО может поставляться и отдельно в виде виртуальной машины. ПАК Dionis-NX зарегистрирован в реестре Минцифры под номером №9895. У этого же продукта есть и сертификация ФСТЭК (№3530), правда, в нем упомянуты только изделия, выполненные в виде ПАК – на виртуальную машину он не распространяется.Тренды и прогнозы в 1С 2026: от автоматизации к интеллектуальным системам 14.5 т

Уязвимость, которую выявил исследователь безопасности Кирилл Иванов, позволяет нападающему внедрить команду операционной системы (инъекция — CWE-78), повысить привилегии до уровня административных полномочий (root) и выполнить произвольный код. Правда, присутствует она только в случае поставки решения в виде виртуальной машины. Ошибка связана с сервисом DIWEB виртуальной машины Dionis-NX, при создании которого разработчики реализовали не все необходимые проверки аргументов, передаваемых в команду.

Сервис DIWEB предназначен для удаленного доступа к веб-интерфейсу Dionis-NX, — прояснил читателям TAdviser Марат Хакимьянов, ведущий инженер компании «Газинформсервис». — Компрометация межсетевого экрана — это очень серьезное нарушение ИБ. Завладев доступом к межсетевому экрану, нарушитель может видеть всю сеть, а также незаметно вносить изменения в сетевые политики, предоставляя все больше возможностей к компрометации других систем. Однако стоит отметить, что уязвимость распространяется лишь на виртуальную версию Dionis-NX. А в большинстве случаев в государственные органы и финансовые организации внедряют программно-аппаратные комплексы.

Следует отметить, что все сертификаты ФСТЭК на межсетевой экран Dionis-NX касаются только ПАК. В то же время обнаруженная ошибка относится к версии Dionis-NX, которая выполнена в виде виртуальной машины. Уязвимый сервис DIWEB используется для удаленного администрирования, поэтому его вероятно обнаружить на внешних периметрах, но это, скорее, нишевое его применение.

Dionis используют там, где требуются российские межсетевые экраны с актуальными сертификатами и допусками - государственный сектор, государственные информационные системы и смежные контуры, субъекты КИИ, часть операторской и корпоративной инфраструктуры с курсом на импортозамещение, – разъяснил TAdviser ситуацию с межсетевым экраном Анатолий Песковский, руководитель направления анализа защищенности компании «Информзащита». – В реальных ландшафтах он встречается как на периметре, так и в зонах межсегментной фильтрации, а в ряде проектов закрывает еще и функции удаленного администрирования через DIWEB. Глобально это не массовый потребительский продукт, но для своих ниш присутствие заметное и география по России широкая.

Анатолий Песковский порекомендовал пользователям уязвимой виртуальной машины Dionis-NX выполнить следующие действия:

• включить телеметрию и контроль изменений - запись сессий администрирования, сообщения о появлении внешних процессов из-под сервисных аккаунтов, корреляцию подозрительных последовательностей вроде символов разделителей команд в запросах к DIWEB;
• отключить все неиспользуемые сервисы на виртуальной машине Dionis-NX
• вынести DIWEB в отдельный сегмент VLAN, недоступный извне;
• разрешать к устройству доступ для администрирования только с промежуточных узлов по белым спискам и по защищенным соединениям;
• не публиковать панель администратора в интернете;
• выполнить обновление;
• усилить учетные данные - использовать уникальные пароли, включить многофакторную аутентификацию для администраторов, обеспечить ротацию паролей после обновления.

2019: Совместимость с ключами JaCarta

28 ноября 2019 года компания "Аладдин Р.Д." сообщила, что совместно с научно-производственным предприятием "Фактор-ТС" завершили тестовые испытания на совместимость своих продуктов.

В рамках тестирования специалисты компаний подтвердили корректность совместной работы электронных ключей JaCarta с программно-аппаратным комплексом "Dionis-NX" версии 2.0, модулем генерации ключей МГК и почтовым клиентом "DioPost" версии 6.

Согласно сертификатам совместимости, с почтовым клиентом "DioPost" и модулем генерации ключей МГК при использовании программного обеспечения "Единый Клиент JaCarta" версии 2.12 или выше могут применяться USB-токены и смарт-карты JaCarta PKI, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ и JaCarta LT. Тестовые испытания проводились в ОС Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1 и Windows 10.

Совместимость с ПАК "Dionis-NX" 2.0 подтверждена для электронных ключей JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ и JaCarta SF/ГОСТ.

Примечания