UserGate Система обнаружения вторжений (СОВ)

2023

Добавление 4 сигнатур, позволяющих детектировать попытки эксплуатации опасных уязвимостей

Компания UserGate 14 июня 2023 года сообщил об обновлении системы обнаружения вторжений новыми сигнатурами.

UserGate добавил четыре сигнатуры в систему обнаружения вторжений. Они позволят эффективно обнаруживать и предотвращать попытки эксплуатации, обеспечивая повышенную безопасность пользователей.

Одна из сигнатур — для CVE-2022-47939, уязвимости удаленного выполнения кода на сервере SMB (Linux) при использовании модуля ядра ksmd. Брешь позволяет неавторизованному пользователю выполнить произвольный код в системе с правами root с помощью специально сформированных пакетов.

Другая сигнатура — для CVE-2023-27997. Это тоже RCE-уязвимость, но затрагивающая Fortinet VPN SSL. Дыра даёт возможность атакующему выполнить произвольный код в целевой системе с правами root, используя специально сформированный POST-запрос.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 299 т

Третья сигнатура, для CVE-2023-20887, связана с багом инъекции команд (Command Injection) в продукте VMware vRealize Network Insight. Также приводит к RCE.

Наконец, четвертая добавленная сигнатура (CVE-2023-34362) относится к SQL-инъекции в продукте MOVEit Transfer. Злоумышленник может использовать эту уязвимость для чтения любых файлов и загрузки веб-шелла на сервер.

Добавление сигнатуры для детектирования попытки эксплуатации уязвимости «QueueJumper» в сервисе Message Queuing для ОС Windows

Центр мониторинга и реагирования UserGate добавил в Систему обнаружения вторжений UserGate (IDPS) сигнатуру, позволяющую детектировать попытку эксплуатации уязвимости CVE-2023-21554 «QueueJumper» в сервисе Message Queuing в ОС Windows. Об этом компания сообщила 17 апреля 2023 года.

Microsoft Message Queuing (MSMQ) — это технология для асинхронной коммуникации между приложениями. По умолчанию сервис не установлен. MSMQ применяется при разработке приложений, которые работают в разнородных сетях или автономно. MSMQ используется как компонент middleware в enterprise-приложениях и полностью интегрирован в Microsoft.NET Framework. Уязвимость может быть использована как для первичного проникновения в сеть, так и для горизонтального перемещения.

Рейтинг согласно CVSSv3.1 — 9.8 Уязвимости присвоен идентификатор CVE-2023-21554

Подверженные версии:

• Windows 10 for 32-bit Systems
• Windows 10 for x64-based Systems
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems
• Windows 10 Version 1809 for ARM64-based Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 20H2 for 32-bit System
• Windows 10 Version 20H2 for x64-based Systems
• Windows 10 Version 21H2 for 32-bit Systems
• Windows 10 Version 21H2 for ARM64-based Systems
• Windows 10 Version 21H2 for x64-based Systems
• Windows 10 Version 22H2 for 32-bit Systems
• Windows 10 Version 22H2 for ARM64-based Systems
• Windows 10 Version 22H2 for x64-based Systems
• Windows 11 version 21H2 for ARM64-based Systems
• Windows 11 version 21H2 for x64-based Systems
• Windows 11 Version 22H2 for ARM64-based Systems
• Windows 11 Version 22H2 for x64-based Systems
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• WindowsServer 2022 (Server Core installation)

Рекомендации по защите:

• Установить последние обновления с сайта производителя ОС.
• Провести аудит информационных систем на предмет ПО, использующего данный сервис (processes.name = «mqsvc.exe», cmd.exe /c sc query mqsvc). На серверах во внутренней сети, где используется сервис, необходимо усилить мониторинг событий до установки патчей. Убедиться, что TCP порт 1801 не доступен из внешней сети (например, c помощью сканирования «nmap -Pn -p 1801 --open -n -vvv 192.168.0.0/24»).
• Проверить актуальность подписки на модуль Security Updates. При использовании профиля сигнатур UserGate все сигнатуры начинают работать автоматически.
• Создать правило СОВ с сигнатурой «Windows QueueJumper RCE», если используется собственный профиль сигнатур.

2022: Добавление сигнатур, позволяющих детектировать уязвимость по переполнению буфера

Центр мониторинга и реагирования UserGate добавил в «Систему обнаружения вторжений» (СОВ) UserGate две сигнатуры, позволяющие детектировать атаки с использованием уязвимостей CVE-2022-3602 и CVE-2022-3786.

Данная уязвимость заключается в переполнении буфера в tls полях id-ce-subjectAltName и id-ce-nameConstraints при использовании кодировки Punycode, что потенциально может привести к удаленному выполнению кода. Злоумышленник может выполнить tls запрос с аутентификацией по специально созданному сертификату, приведя к переполнению буфера.

В соответствии с CVSSv3.1 уязвимости пока не был присвоен рейтинг, однако OpenSSL Project Team присвоила рейтинг CRITICAL. Впоследствии была найдена уязвимость-побратим (CVE-2022-3786), а их рейтинг был снижен до HIGH.

Продукты компании UserGate не подвержены данной уязвимости.

Затронутые версии OpenSSL:

• OpenSSL – версии с 3.0.0 по 3.0.6.

Затронутые продукты:

• Ubuntu 22.04 «Kinetic Kudu» и «Jammie»;
• Debian 12 «Bookword»;
• CentOS;
• Fedora Linux 36/37;
• Linux Mint 21 Vanessa;
• Kali 2022.3;
• OpenSUSE;
• Oracle Linux;
• Red Hat Universal Base Images;
• SUSE Enterprise Linux Server.

Специалисты Центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям следующие действия:

• Убедиться, что оборудование не использует уязвимую версию OpenSSL и, в случае нахождения уязвимой версии, обновить ее;
• Проверить актуальность подписки на модуль Security Updates;
• Добавить в блокирующее правило IDPS сигнатуры «Possible OpenSSL X.509 Email Address 4-byte Buffer Overflow» и «Possible OpenSSL X.509 Email Address Variable Length Buffer Overflow».