14.11.202414.11.2024 Юлия МальцеваЮлия Мальцева 0 Comment

Positive Technologies — Sandbox и MultiScanner

В конце октября ФСТЭК опубликовала предупреждение о критической уязвимости BDU:2024-08291, которая была обнаружена в двух продуктах Positive Technologies — Sandbox и MultiScanner. Уязвимыми являются версии с 5.6.0 до 5.15.0 включительно — исправление в версии 5.15.1 (есть и сертифицированная). Опасность оценивается как 8.8 из 10 по CVSSv3. Эксплуатации данной уязвимости пока зафиксировано не было.

Уязвимость относится к классу сохранённого межсайтового скриптинга (SXSS), которая срабатывает в веб-интерфейсе администратора или специалиста по безопасности. При их подключении к веб-интерфейсу от имени соответствующего пользователя может запуститься вредоносный сценарий JavaScript. С его помощью злоумышленники могут как захватить компьютер администратора, так и отключить настройки корпоративной защиты. Обычно XSS–ошибки не являются критичными, однако в данном случае ошибка позволяет, во-первых, проникнуть сквозь периметр, а во-вторых — повлиять на систему безопасности.

В данном случае уязвимость может быть использована только для APT-атак, поскольку из внутренней системы можно вытянуть только те данные, которые через неё проходят, а значит, это довольно закрытая история. Надо понимать, что песочница как продукт – это изолированная тема, даже данные какого-нибудь проверяемого письма, скорее всего, не удастся получить в легкодоступном формате. К тому же, этот продукт используется ещё не во всех компаниях, а сам производитель уже выпустил несколько рекомендаций по исправлению уязвимости.

Nexus Dashboard Fabric Controller (Cisco NDFC)

ФСТЭК в начале октября разослала предупреждение о критической ошибке BDU:2024-07739, которая позволяет нарушителю, действующему удаленно, выполнить произвольный код путём отправки специально сформированных команд. Уязвимым оказался Nexus Dashboard Fabric Controller (Cisco NDFC), в веб-интерфейсе которого не были приняты меры по нейтрализации специальных элементов, используемых в команде ОС. Это относится ко всем версиям NDFC вплоть до 11.5 (для них исправлений не предвидится) и версии с 12.0 по 12.2.2, в которой ошибка исправлена. Эксплуатации данной уязвимости компания Cisco не обнаружила, хотя уровень ее опасности составляет 9.9 из 10 по методике CVSS.

Следует отметить, что ошибку обнаружила служба тестирования самой Cisco. Ошибка связана с тем, что при обработке протокола REST API недостаточно фильтруются спецсимволы командной строки IOS – ОС устройств Cisco. В результате у злоумышленника с минимальными полномочиями появляется возможность дистанционно через веб-интерфейс выполнить инъекцию команд IOS и выполнить их на устройствах, которые контролирует Cisco NDFC.

Продажи оборудования Cisco и лицензий в России не остановились. Возможность приобрести продукты данного вендора у клиентов осталась благодаря получившему популярность в последние годы параллельному импорту, то есть продажи идут не напрямую клиенту, а сперва третьему лицу – компании, на которую не распространяются санкции и другие ограничения. Поэтому ряд организаций, не относящихся к наиболее регулируемым отраслям, по-прежнему используют продукты Cisco, хотя и на свой страх и риск.

Эксперты ФСТЭК рекомендуют в случае невозможности установить обновление выполнить следующие действия:

  • использовать средства межсетевого экранирования уровня веб-приложений для предотвращения попыток эксплуатации уязвимости;
  • составить и применять для фильтрации соединений «белый» список IP-адресов, с которых пользователи могут получить доступ к платформе;
  • отключить или вовсе удалить неиспользуемые учетные записи пользователей;
  • использовать виртуальные частные сети для организации удаленного доступа (VPN) к платформе.

Уязвимость в чипах Qualcomm

ФСТЭК 9 октября предупредила об обнаружении достаточно важной уязвимости BDU:2024-07868, которая присутствует в микропрограммном коде сигнальных процессоров (DSP) Qualcomm. Хотя ошибка имеет не критичный уровень – 7,8 из 10 по CVSS, однако она может оказаться опасной, поскольку ей подвержены около 60 моделей процессоров, которые используются в различных мобильных устройствах. Низкая оценка уязвимости связана со сложностью ее эксплуатации, однако группа анализа угроз Google (TAG) уже зафиксировала использование данной ошибки для внедрения шпионских кодов в операционную систему Android.

Связана уязвимость с использованием памяти после освобождения в микрокоде сигнальных процессоров, что при должной смекалке атакующего позволяет выполнить посторонний вредоносный код. Однако это требует от злоумышленника достаточно высокой квалификации по манипулированию структурами данных атакуемых устройств. Это означает, что атака не может быть массовой.

Сложность организации массовой атаки связана еще и с тем, что количество уязвимых процессоров достаточно большое – 60 моделей, да еще и микропрограммных кодов для них также не одна версия. В каждой модели может быть использована своя версия фирменной прошивки, которая для эксплуатации требует точного подбора параметров успешной атаки. Выполнить вредоносный код, похоже, можно только в том случае, когда точно известна модель устройства и прошивка его DSP-процессора.

Опасность данной уязвимости еще и в том, что уязвимыми могут оказаться не только смартфоны и планшеты, но и другие IoT-устройства – практически все подключаемые к интернету мобильные устройства используют DSP-процессоры для обработки сигналов мобильных сетей или Wi-Fi. При этом далеко не все производители умных устройств сообщают о том, какие именно процессоры в них установлены, и не всегда они предусматривают возможность для обновления своих прошивок.

Потенциально уязвимые устройства широко распространены у нас, т.к. количество уязвимых моделей чипсетов исчисляется несколькими десятками. В том числе пользователь устройства может не знать о возможной проблеме, т.к. не всегда в открытых источниках можно найти информацию о том, из каких компонентов состоит устройство. Например, узнать, что уязвимый чипсет стоит в мобильном телефоне легко. А какой чипсет установлен в телематическом блоке современного автомобиля, зачастую не известно.

Специалисты ФСТЭК также предлагает использование антивирусного программного обеспечения для предотвращения попыток эксплуатации уязвимости. Кроме рекомендаций ФСТЭК России, пользователям можно посоветовать всегда устанавливать приложения только из проверенных источников, а также использовать комплексную антивирусную защиту от надежного производителя.

Беда только в том, что DSP-процессор обрабатывает данные на физическом уровне, то есть на самом первом уровне модели взаимодействия открытых систем (Open Systems Interconnection — OSI). Поэтому вполне возможно, что специально подготовленным радиосигналом можно вызвать эксплуатацию данной уязвимости, и ошибка повторного использования памяти после освобождения может сработать еще до передачи данных в мобильную операционную систему, в рамках которой работает антивирус. Защиты от атаки такого уровня пока еще не придумано, и вряд ли в ближайшее время она появится. Поэтому единственным надежным решением является обновление микропрограммного кода DSP-процессора, хотя это и достаточно сложный процесс.