Компания Entensys выпустила UserGate Web Filter

Компания Entensys выпустила UserGate Web Filter

Компания Entensys выпустила UserGate Web Filter

Вопрос интернет-фильтрации приобрел большое значение и контролируется на законодательном уровне во многих странах, в том числе и в России. Эффективная защита от нежелательного контента необходима как в образовательных учреждениях, так и в других государственных и коммерческих организациях, а также должна предоставляться в качестве дополнительного сервиса всеми интернет-провайдерами.

UserGate Web Filter - шлюзовое решение, позволяющее контролировать использование интернета на любых устройствах в локальной или провайдерской сети, независимо от их типа и операционной системы, а также от способа организации доступа во всемирную паутину. Внедрение продукта обеспечивает безопасность использования интернета и способствует сведению к минимуму нецелевого веб-серфинга. Решение объединяет в своей работе 5 механизмов фильтрации: блокировку по категориям сайтов, морфологический анализ, безопасный поиск, белые и черные списки, блокировку баннеров и всплывающих окон.

UserGate Web Filter приходит на смену вышедшему в 2010 году GateWall DNS Filter. Новый продукт обеспечивает фильтрацию уже не только по DNS-запросам, но и по анализу содержимого, а также обладает множеством других функций, включая фильтрацию прямых запросов по IP-адресу. К тому же UserGate Web Filter поддерживает операционную систему Linux и может устанавливаться на любых реальных и виртуальных машинах, а также разворачиваться как высокопроизводительное кластерное решение, обеспечивающее фильтрацию десятков и даже сотен тысяч пользователей.

В UserGate Web Filter используется база интернет-ресурсов, состоящая из более чем 500 миллионов адресов, что позволяет администратору разрешать или запрещать доступ к целым группам ресурсов. Дополнительно проводится морфологический анализ веб-страниц на предмет наличия на них определенных слов, словосочетаний и регулярных выражений. Подобный подход позволяет запрещать разделы сайтов выборочно, а не на уровне домена. Технология особенно актуальна для различных социальных сетей и других порталов, на которых значительная часть контента создается самими пользователями (Web 2.0).

С помощью продукта можно принудительно активировать "безопасный режим" в популярных поисковых системах (Google, Yandex, Yahoo, Bing, Rambler), а также на YouTube. Блокировка на уровне запроса позволяет добиться высокой эффективности при фильтрации откликов по видео- и графическому видам контента. UserGate Web Filter также может блокировать показ рекламных баннеров, которые зачастую сами по себе содержат нежелательную информацию или графические образы.

UserGate Web Filter поддерживает работу с "белыми" и "черными" списками интернет-ресурсов. Решение относительно доступа к сайтам, внесенных в эти наборы, принимается продуктом независимо от других настроек.

Существует возможность подписки на обновление:

  • базы словарей, в том числе списка материалов, запрещенных Министерством Юстиции Российской Федерации, наборов слов «Суицид», «Терроризм», «Порнография», «Плохие слова», «Наркотики» (на русском, английском и немецком языках);
  • списков сайтов, в том числе запрещенных государством на федеральном уровне.

UserGate Web Filter доступен в качестве:

  • программного обеспечения UserGate Web Filter, устанавливаемого на сервер (текущая версия реализована для ОС Linux, решение для Windows станет доступно позднее);
  • программно-аппаратного решения UserGate Web Filter Appliance;
  • специального образа UserGate Web Filter Virtual Appliance, предназначенного для развертывания продукта на виртуальной машине.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Две уязвимости в ksmbd Linux позволяют получить root через SMB

Без лишней мистики: исследователь в области кибербезопасности BitsByWill подробно разобрал две критические уязвимости в ksmbd — встроенном в ядро Linux SMB-сервере. Речь о CVE-2023-52440 и CVE-2023-4130 — и самое неприятное, что они отлично склеиваются в рабочую эксплойт-цепочку.

Первая уязвимость, CVE-2023-52440, описывается как контролируемое SLUB-переполнение в функции ksmbd_decode_ntlmssp_auth_blob().

Как пишет BitsByWill, длина sess_key_len контролируется пользователем, и при определённой подаче данных можно переполнить фиксированный буфер sess_key во время вызова cifs_arc4_crypt. Проще говоря — достаточно модифицировать одну строку в ntlm-клиентской библиотеке (в примере — Impacket), чтобы сгенерировать специально подготовленное NTLM-сообщение и получить неаутентифицированное удалённое переполнение буфера с контролем размера и содержимого.

Вторая уязвимость, CVE-2023-4130, — это чтение за пределами буфера (OOB read) в smb2_set_ea(). Из-за плохой проверки расширенных атрибутов (EA) злоумышленник с правом записи на шаре может заставить ksmbd неправильно интерпретировать структуру и считать дополнительные записи. В результате соседние данные кучи попадают в xattr, откуда их можно извлечь через SMB3 queryInfo. То есть брешь позволяет вытянуть части памяти ядра и, например, сломать KASLR.

И вот где всё становится опасно: переполнение даёт запись, чтение даёт утечку. Связав CVE-2023-52440 и CVE-2023-4130, BitsByWill показал рабочий путь до реального ROP-эксплойта.

Для демонстрации потребовались учётные данные пользователя с правом записи на шару, поэтому исследователь пишет о 0-click с аутентификацией — формулировка спорная, но смысл понятен: если админ разрешил анонимную запись в шаре, шанс эксплуатации становится ещё выше.

Авторы анализа подчёркивают практические сценарии: модификация таблиц страниц для произвольного чтения/записи, вынимание секретов из соседних процессов или подготовка ROP-цепочки для исполнения кода в контексте ядра. Всё это — классика эскалации привилегий, но в данном случае — прямо через SMB-интерфейс ядра.

Патчи уже вышли, и производители/поддерживающие дистрибутивы закрывали эти баги, но реальная угроза — не только в уязвимом коде, а в конфигурациях и устаревших системах. Как обычно, напомним: открытые для записи шар-ресурсы, устаревшее ПО и несвоевременное обновление — идеальная среда для подобных атак.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru