| Разработчики: | Sangfor Technologies |
| Технологии: | ИБ - Межсетевые экраны |
Основная статья: Межсетевой экран (Firewall)
2023: Обнаружение множественных уязвимостей, позволяющих получить доступ к исходному коду
Центр мониторинга и реагирования UserGate 11 октября 2023 года предупредил о множественных уязвимостях в продукте китайского вендора – Sangfor’s Next Gen Application Firewall.
С их помощью злоумышленники могут получить доступ к исходному коду и локальным файлам (в режиме «read only»), возможность добавлять собственных пользователей SSO через SQL-инъекцию, а также получать информацию о конфигурации подключенных к устройству доменов, включая логин и пароль. Это возможно из-за слабого механизма аутентификации и последующего манипулирования ответами сервера Apache.
Кроме это в исследовании watchTour Labs продемонстрирован Proof of Concept для двух видов RCE: через параметр Username на странице входа в систему (параметр передается непосредственно в shell) и Cookie PHPSESSIONID.
Компания Sangfor заявила об осведомленности о некоторых упомянутых уязвимостях и выпуске патчей с исправлениями.
Специалисты watchTour Labs и Центра мониторинга и реагирования UserGate не нашли их в публичном доступе.
Оставшиеся уязвимости Sangfor не смогла подтвердить, ссылаясь на false positive.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144) ESET (ИСЕТ Софтвеа) (65) Инфосистемы Джет (64) ДиалогНаука (56) Информзащита (42) Другие (1210) Солар (ранее Ростелеком-Солар) (8) А-Реал Консалтинг (6) Softline (Софтлайн) (3) BI.Zone (Безопасная Информационная Зона, Бизон) (2) Аксофт (Axoft) (2) Другие (55)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170) ESET (ИСЕТ Софтвеа) (11, 79) Positive Technologies (Позитив Текнолоджиз) (13, 68) Смарт-Софт (Smart-Soft) (5, 47) Доктор Веб (Dr.Web) (7, 45) Другие (720, 504) Солар (ранее Ростелеком-Солар) (3, 7) А-Реал Консалтинг (3, 6) Positive Technologies (Позитив Текнолоджиз) (3, 4) Лаборатория Касперского (Kaspersky) (2, 4) Curator (Эйч-Эль-Эль) ранее Qrator Labs (1, 1) Другие (12, 12) UserGate, Юзергейт (ранее Entensys) (3, 8) Лаборатория Касперского (Kaspersky) (1, 3) Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3) А-Реал Консалтинг (1, 2) Positive Technologies (Позитив Текнолоджиз) (1, 1) Другие (6, 6) UserGate, Юзергейт (ранее Entensys) (6, 10) Positive Technologies (Позитив Текнолоджиз) (4, 5) ИВК (1, 4) А-Реал Консалтинг (2, 3) Сторм системс (StormWall) (1, 3) Другие (7, 9)Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82 ESET NOD32 Business Edition - 51 Dr.Web Enterprise Security Suite - 35 Kaspersky Enterprise Space Security - 34 MaxPatrol SIEM - 33 Другие 677 Solar MSS - 3 Kaspersky Endpoint Security - 3 Solar JSOC - 3 А-Реал Консалтинг: Интернет-шлюз ИКС - 3 А-Реал Консалтинг: Межсетевой экран ИКС - 2 Другие 20 
