Критическая уязвимость в продуктах FireEye активируется одним письмом
Главная » Новости

Критическая уязвимость в продуктах FireEye активируется одним письмом

Александр Панасенко 17 Декабря 2015 - 14:27
...

Исследователи Google Project Zero, в лице Тевиса Орманди (Tavis Ormandy) и Натали Силванович (Natalie Silvanovich),нашли критическую уязвимость в продукции компании FireEye. Проблема получила зловещее название «666», так как это шестьсот шестьдесят шестой баг, обнаруженный экспертами Project Zero.

Уязвимость, допускающая удаленное исполнение произвольного кода (RCE), касается продуктов серий Network Security (NX), Email Security (EX), Malware Analysis (AX) и File Content Security (FX). Баг обнаружился в MIP (Malware Input Processor) – подсистемном модуле, который анализирует Java JAR-файлы, а затем производит их декомпиляцию. После декомпиляции, модуль проверяет код, сравнивая его с известными вредоносными паттернами. Однако если атакующий отправит в корпоративную сеть файл, который якобы использует обфускацию, это одурачит декомпилятор, по сути, превратив его в инструмент для исполнения произвольных shell-команд, пишет xakep.ru.

Для эксплуатации уязвимости, хакеру достаточно отправить жертве email, содержащий подходящий JAR-файл. Такое письмо даже не нужно читать, достаточно просто его получить. Или атакующий может вынудить пользователя пройти по ссылке, ведущей к вредоносному JAR-файлу. Клик по ссылке или получение письма приведут к компрометации одной из наиболее привилегированных машин во всей сети.

«Для сетей, в которых работают устройства FireEye, уязвимость, которую можно эксплуатировать через интерфейс пассивного мониторинга, может обернуться форменным кошмаром», — пишет Орманди.

Компания FireEye поблагодарила исследователей за обнаружение столь важной проблемы и уже выпустила исправление. Орманди отмечает, что на создание патча специалисты FireEye потратили всего два дня, и он распространился через автоматический апдейтер Security Content.

Подробные технические детали Орманди опубликовал в официальном блоге Project Zero.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

UserGate WAF 7.4 теперь доступен для отгрузки заказчикам
Екатерина Быстрова 18 Июня 2025 - 13:18
Корпорации Средства защиты веб-сайтов (приложений)Web Application Firewall (WAF) UserGate
UserGate WAF 7.4 теперь доступен для отгрузки заказчикам

С 18 июня 2025 года компания UserGate начала поставки нового продукта — межсетевого экрана для веб-приложений. Решение получило название UserGate WAF 7.4.0 и предназначено для защиты сайтов и API от сетевых атак, ботов и попыток обхода защиты.

Что представляет собой продукт

WAF построен на собственном движке анализа трафика, без использования open source-компонентов. Как утверждают разработчики, это позволило обеспечить более строгий контроль над безопасностью и избежать зависимости от стороннего кода. Решение сертифицировано ФСТЭК (сертификат №3905).

Продукт развёртывается локально в виде образа виртуальной машины, в составе которой уже есть внутренняя ОС UGOS и весь необходимый софт. Поддерживается работа на большинстве популярных гипервизоров, как отечественных, так и зарубежных. Это позволяет быстро запустить продукт — по заявлениям компании, базовая настройка занимает около 15 минут.

Как работает защита

В составе WAF — встроенные наборы правил, включая защиту от типовых уязвимостей из списка OWASP Top-10. Обновления этих правил происходят отдельно от обновлений основного ПО: если специалисты компании находят новую угрозу, они оперативно добавляют соответствующее правило.

При необходимости можно создать собственные политики на внутреннем языке UPL (UserGate Policy Language). WAF также включает защиту API и функции фильтрации DoS-атак на уровне приложений (L7).

Почему WAF — отдельный продукт

Изначально продукт создавался как самостоятельное решение, а не модуль в составе NGFW. Причина — не всем заказчикам требуется защита веб-приложений, а логика работы таких приложений у разных организаций сильно различается. В итоге WAF требует индивидуальной настройки, а не универсального подхода.

Особенности использования

Пока продукт доступен только в виде программного образа для локального развёртывания. В будущем компания планирует выпустить и аппаратные версии. Для использования в закрытых контурах предусмотрена возможность офлайн-обновлений.

По данным UserGate, на российском рынке в сегменте WAF пока сохраняется нехватка решений, которые можно было бы использовать как полноценную замену зарубежному ПО. Некоторые организации до сих пор обходятся без специализированной защиты веб-приложений или используют open source с его ограничениями. Это создаёт интерес к новым локальным решениям, которые можно настроить под свои задачи без зависимости от иностранных технологий.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
AirBorne: 23 уязвимости в AirPlay позволяют захватывать устройства в сети
Новость
AirBorne: 23 уязвимости в AirPlay позволяют захватывать устр...
Cloud Atlas атакует российский оборонный сектор
Новость
Cloud Atlas атакует российский оборонный сектор
Data Fusion 2025: микс из цифры, ИИ и постмодернизма
Новость
Data Fusion 2025: микс из цифры, ИИ и постмодернизма

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.