Ideco: критическая уязвимость угрожает отечественным NGFW и IPS-решениям

Безопасность отечественных средств защиты информации оказалась под угрозой — в популярном OpenSource IPS-модуле Suricata обнаружены три уязвимости. Только за 2023 год в результате «пробелов» в защите в открытый доступ попало более 300 миллионов конфиденциальных документов. Многие отечественные средств защиты информации (межсетевые экраны, NGFW и системы обнаружения вторжений) использует Suricata в качестве одного из модулей. 

По данным исследователей из компании Ideco, эксплуатация уязвимостей может происходить с помощью специально сформированной злоумышленниками веб-страницы, во время обработки которой в системе будет выполнен произвольный код (с правами модуля IPS в системе). Особенно опасно то, что уязвимы именно пограничные межсетевые экраны — таким образом злоумышленники могут получить бэкдор в локальную сеть и уже ничто не способно будет их остановить. 

Стоит отметить, что бэкдор используется хакерами в 21% кибепреступлений. Еще более опасно то, что часто для лучшей фильтрации трафика эти же устройства осуществляют расшифровку HTTPS-трафика, потенциально позволяя таким образом хакерам возможность получения доступа к конфиденциальной информации (включая логины и пароли) и возможность подменять трафик (например, данные о получателе денежных переводов). 

Еще тяжелее приходится разработчикам, не использующим «чистый» OpenSource-модуль (в новой версии Suricata есть исправления данных уязвимостей), а развивающих собственный форк (собственные разработки на основе взятого в прошлом кода модуля) — в таком случае исправление ошибок может занять гораздо больше времени, при этом эксплуатация уязвимости может быть возможна, хотя и иногда с неочевидным вектором атаки. 

Проблема может возникнуть у тех, кто использует необновленные коммерческие продукты. Согласно статистике, более 75% компаний не обновляют ПО вовремя, что влечет серьезные инциденты, связанные со взломом. 

На данный момент готовых эксплойтов у злоумышленников нет. В последней версии Suricata обнаруженные уязвимости устранены. Однако, чтобы максимально защитить конфиденциальную информацию вашей компании, стоит проверить наличие новых версий всех систем безопасности. 

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин отмечает, что PS Suricata относится к классу решений с открытым исходным кодом, поэтому довольно часто используется для построения аналогичных, но уже коммерческих решений. 

«Как это часто бывает, при выявлении уязвимостей в какой-то библиотеке или компоненте, необходимо убедиться, не использует ли их ваше собственное решение. Как правило вендоры самостоятельно устраняю подобные уязвимости, а если этого не происходит, администраторы ИБ должны самостоятельно принять соответствующие решения, чтобы скомпенсировать возможный урон от атак», — отмечает Полунин. 

Эксперт добавляет, что выявленным уязвимостям присвоен критический уровень, а значит скорее всего они позволяют выполнять злоумышленникам произвольный код на уязвимой системе, а это очень серьезная проблема.