Уязвимость в CommuniGate Pro допускает взлом через почтовый шлюз. Первые атаки зафиксированы.
ФСТЭК 12 февраля разослала предупреждение об обнаружении критической уязвимости BDU:2025-01331 в почтовом сервере CommuniGate Pro, которая позволяет удаленным злоумышленникам захватить контроль над почтовой системой. Уровень опасности по CVSS – 9,8 из 10, что означает низкую сложность эксплуатации, возможность удаленной атаки без необходимости наличия привилегий в системе и пользовательского взаимодействия. Производитель выпустил обновления, однако для уязвимости уже есть эксплойт.
Сервер CommuniGate Pro действительно зарегистрирован в реестре отечественного ПО под №7112, поэтому велика вероятность установки его в государственных и критических информационных системах. Уязвимость возникает из-за ошибки, которая допускает переполнение буфера на стеке, что и позволяет исполнить вредоносный код. Существует она в версии CommuniGate Pro 6.3.0 и была унаследована всеми последующими версиями продукта, включая 6.4.х. Исправлена она в версии 6.3.39 release 3.
Эксперты ФСТЭК рекомендуют максимально оперативно исполнить все рекомендации поставщика по переходу на безопасные версии продуктов.
Для пользователей уязвимых версий CommuniGate Pro выполнить следующие действия:
- Незамедлительно установить исправления от производителя;
- До момента установки обновлений блокировать доступ к серверам из внешней сети, то есть полностью закрыть почтовый сервер на прием сообщений;
- Провести проверку логов на наличие признаков возможных атак.
NVidia Base Command Manager.
В конце ноября 2024 года ФСТЭК разослала предупреждение об уязвимости BDU:2024-10174, обнаруженной в продукте для управления рабочей нагрузкой и мониторинга инфраструктуры NVidia Base Command Manager (BCM), который входит в состав NVidia AI Enterprise. Этот инструмент оптимизирует развёртывание кластера, управляет рабочей нагрузкой и мониторингом инфраструктуры, построенной на продуктах NVidia. Опасность уязвимости оценивается как 9,8 из 10 по CVSSv3. Уязвимость подтверждена производителем и уже устранена.
Ошибка BDU:2024-10174 связана с отсутствием процедуры авторизации в одном из компонентов NVidia BCM – демоне CMDaemon. В результате эксплуатации этой уязвимости удаленный злоумышленник может выполнить произвольный код. Уязвимыми являются версии от 10.24.08 до 10.24.09 . Ошибка исправлена в версии 10.24.09a, до которой компания рекомендует обновиться.
NVidia BCM предоставляет администраторам крупных ЦОДов, где установлены устройства NVidia, все инструменты для развёртывания и управления центром данных искусственного интеллекта. Наличие подобной ошибки дает злоумышленникам возможность получить контроль над огромными вычислительными ресурсами, которые сейчас используются для обучения ML-моделей и нейросетей.
Если исполнение основной рекомендации – обновление ПО до исправленной версии – реализовать не удастся, то специалисты ФСТЭК настоятельно советуют выполнить следующие компенсирующие меры:
- Использовать средства межсетевого экранирования для ограничения удалённого доступа к уязвимому программному средству;
- Применять «белые» списки IP-адресов для ограничения доступа к уязвимому программному средству;
- Ограничить с помощью виртуальных частных сетей удаленный доступ к уязвимому ПО.
К этим рекомендациям можно добавить то, что службе безопасности ЦОДа, где установлен подобный инструмент управления, стоит какое-то время более пристально контролировать поведение соответствующего программного компонента – CMDaemon, стараясь выявить в его логах признаки эксплуатации уязвимости. Это можно сделать как с помощью индикаторов компрометации (IoC), так и анализа поведенческой активности приложения.