Разработчики: | UserGate, Юзергейт (ранее Entensys) |
Дата последнего релиза: | 2023/06/14 |
Технологии: | ИБ - Межсетевые экраны |
Содержание |
2023
Добавление 4 сигнатур, позволяющих детектировать попытки эксплуатации опасных уязвимостей
Компания UserGate 14 июня 2023 года сообщил об обновлении системы обнаружения вторжений новыми сигнатурами.
UserGate добавил четыре сигнатуры в систему обнаружения вторжений. Они позволят эффективно обнаруживать и предотвращать попытки эксплуатации, обеспечивая повышенную безопасность пользователей.
Одна из сигнатур — для CVE-2022-47939, уязвимости удаленного выполнения кода на сервере SMB (Linux) при использовании модуля ядра ksmd. Брешь позволяет неавторизованному пользователю выполнить произвольный код в системе с правами root с помощью специально сформированных пакетов.
Другая сигнатура — для CVE-2023-27997. Это тоже RCE-уязвимость, но затрагивающая Fortinet VPN SSL. Дыра даёт возможность атакующему выполнить произвольный код в целевой системе с правами root, используя специально сформированный POST-запрос.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
Третья сигнатура, для CVE-2023-20887, связана с багом инъекции команд (Command Injection) в продукте VMware vRealize Network Insight. Также приводит к RCE.
Наконец, четвертая добавленная сигнатура (CVE-2023-34362) относится к SQL-инъекции в продукте MOVEit Transfer. Злоумышленник может использовать эту уязвимость для чтения любых файлов и загрузки веб-шелла на сервер.
Добавление сигнатуры для детектирования попытки эксплуатации уязвимости «QueueJumper» в сервисе Message Queuing для ОС Windows
Центр мониторинга и реагирования UserGate добавил в Систему обнаружения вторжений UserGate (IDPS) сигнатуру, позволяющую детектировать попытку эксплуатации уязвимости CVE-2023-21554 «QueueJumper» в сервисе Message Queuing в ОС Windows. Об этом компания сообщила 17 апреля 2023 года.
Microsoft Message Queuing (MSMQ) — это технология для асинхронной коммуникации между приложениями. По умолчанию сервис не установлен. MSMQ применяется при разработке приложений, которые работают в разнородных сетях или автономно. MSMQ используется как компонент middleware в enterprise-приложениях и полностью интегрирован в Microsoft.NET Framework. Уязвимость может быть использована как для первичного проникновения в сеть, так и для горизонтального перемещения.
Рейтинг согласно CVSSv3.1 — 9.8 Уязвимости присвоен идентификатор CVE-2023-21554
Подверженные версии:
- Windows 10 for 32-bit Systems
- Windows 10 for x64-based Systems
- Windows 10 Version 1607 for 32-bit Systems
- Windows 10 Version 1607 for x64-based Systems
- Windows 10 Version 1809 for 32-bit Systems
- Windows 10 Version 1809 for ARM64-based Systems
- Windows 10 Version 1809 for x64-based Systems
- Windows 10 Version 20H2 for 32-bit System
- Windows 10 Version 20H2 for x64-based Systems
- Windows 10 Version 21H2 for 32-bit Systems
- Windows 10 Version 21H2 for ARM64-based Systems
- Windows 10 Version 21H2 for x64-based Systems
- Windows 10 Version 22H2 for 32-bit Systems
- Windows 10 Version 22H2 for ARM64-based Systems
- Windows 10 Version 22H2 for x64-based Systems
- Windows 11 version 21H2 for ARM64-based Systems
- Windows 11 version 21H2 for x64-based Systems
- Windows 11 Version 22H2 for ARM64-based Systems
- Windows 11 Version 22H2 for x64-based Systems
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server 2022
- WindowsServer 2022 (Server Core installation)
Рекомендации по защите:
- Установить последние обновления с сайта производителя ОС.
- Провести аудит информационных систем на предмет ПО, использующего данный сервис (processes.name = «mqsvc.exe», cmd.exe /c sc query mqsvc). На серверах во внутренней сети, где используется сервис, необходимо усилить мониторинг событий до установки патчей. Убедиться, что TCP порт 1801 не доступен из внешней сети (например, c помощью сканирования «nmap -Pn -p 1801 --open -n -vvv 192.168.0.0/24»).
- Проверить актуальность подписки на модуль Security Updates. При использовании профиля сигнатур UserGate все сигнатуры начинают работать автоматически.
- Создать правило СОВ с сигнатурой «Windows QueueJumper RCE», если используется собственный профиль сигнатур.
2022: Добавление сигнатур, позволяющих детектировать уязвимость по переполнению буфера
Центр мониторинга и реагирования UserGate добавил в «Систему обнаружения вторжений» (СОВ) UserGate две сигнатуры, позволяющие детектировать атаки с использованием уязвимостей CVE-2022-3602 и CVE-2022-3786.
Данная уязвимость заключается в переполнении буфера в tls полях id-ce-subjectAltName и id-ce-nameConstraints при использовании кодировки Punycode, что потенциально может привести к удаленному выполнению кода. Злоумышленник может выполнить tls запрос с аутентификацией по специально созданному сертификату, приведя к переполнению буфера.
В соответствии с CVSSv3.1 уязвимости пока не был присвоен рейтинг, однако OpenSSL Project Team присвоила рейтинг CRITICAL. Впоследствии была найдена уязвимость-побратим (CVE-2022-3786), а их рейтинг был снижен до HIGH.
Продукты компании UserGate не подвержены данной уязвимости.
Затронутые версии OpenSSL:
- OpenSSL – версии с 3.0.0 по 3.0.6.
Затронутые продукты:
- Ubuntu 22.04 «Kinetic Kudu» и «Jammie»;
- Debian 12 «Bookword»;
- CentOS;
- Fedora Linux 36/37;
- Linux Mint 21 Vanessa;
- Kali 2022.3;
- OpenSUSE;
- Oracle Linux;
- Red Hat Universal Base Images;
- SUSE Enterprise Linux Server.
Специалисты Центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям следующие действия:
- Убедиться, что оборудование не использует уязвимую версию OpenSSL и, в случае нахождения уязвимой версии, обновить ее;
- Проверить актуальность подписки на модуль Security Updates;
- Добавить в блокирующее правило IDPS сигнатуры «Possible OpenSSL X.509 Email Address 4-byte Buffer Overflow» и «Possible OpenSSL X.509 Email Address Variable Length Buffer Overflow».
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1202)
Смарт-Софт (Smart-Soft) (5)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
Сторм системс (StormWall) (2)
Лаборатория Касперского (Kaspersky) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (720, 499)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
Концерн Автоматика (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
Check Point Software Technologies (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Вебмониторэкс (ранее WebmonitorX) (1, 2)
Другие (6, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 672
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
MaxPatrol SIEM - 2
Другие 16
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20