Критическая уязвимость в продуктах FireEye активируется одним письмом

Критическая уязвимость в продуктах FireEye активируется одним письмом

Исследователи Google Project Zero, в лице Тевиса Орманди (Tavis Ormandy) и Натали Силванович (Natalie Silvanovich),нашли критическую уязвимость в продукции компании FireEye. Проблема получила зловещее название «666», так как это шестьсот шестьдесят шестой баг, обнаруженный экспертами Project Zero.

Уязвимость, допускающая удаленное исполнение произвольного кода (RCE), касается продуктов серий Network Security (NX), Email Security (EX), Malware Analysis (AX) и File Content Security (FX). Баг обнаружился в MIP (Malware Input Processor) – подсистемном модуле, который анализирует Java JAR-файлы, а затем производит их декомпиляцию. После декомпиляции, модуль проверяет код, сравнивая его с известными вредоносными паттернами. Однако если атакующий отправит в корпоративную сеть файл, который якобы использует обфускацию, это одурачит декомпилятор, по сути, превратив его в инструмент для исполнения произвольных shell-команд, пишет xakep.ru.

Для эксплуатации уязвимости, хакеру достаточно отправить жертве email, содержащий подходящий JAR-файл. Такое письмо даже не нужно читать, достаточно просто его получить. Или атакующий может вынудить пользователя пройти по ссылке, ведущей к вредоносному JAR-файлу. Клик по ссылке или получение письма приведут к компрометации одной из наиболее привилегированных машин во всей сети.

«Для сетей, в которых работают устройства FireEye, уязвимость, которую можно эксплуатировать через интерфейс пассивного мониторинга, может обернуться форменным кошмаром», — пишет Орманди.

Компания FireEye поблагодарила исследователей за обнаружение столь важной проблемы и уже выпустила исправление. Орманди отмечает, что на создание патча специалисты FireEye потратили всего два дня, и он распространился через автоматический апдейтер Security Content.

Подробные технические детали Орманди опубликовал в официальном блоге Project Zero.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Kaspersky NGFW 1.1 добавили проверку архивов и поддержку GeoIP-политик

Компания представила новую версию своего межсетевого экрана нового поколения Kaspersky NGFW 1.1, добавив в неё функции, повышающие устойчивость работы и уровень защиты от киберугроз. Обновление также включает новые аппаратные платформы.

Среди ключевых изменений — улучшенная отказоустойчивость за счёт синхронизации сессий и маршрутной информации в кластере. Это делает переключение между устройствами практически незаметным и снижает время простоя.

Кроме того, добавлена поддержка протокола BFD (Bidirectional Forwarding Detection) для BGP и OSPF, что ускоряет перенаправление трафика при сбоях в сети.

В антивирусный движок решения добавлена проверка архивов любых форматов, что позволяет эффективнее выявлять угрозы, скрытые внутри файлов.

Ещё одно нововведение — поддержка ICAP-клиента, благодаря чему теперь можно направлять файлы на анализ не только в систему Kaspersky Anti Targeted Attack, но и в сторонние песочницы и DLP-системы.

Появились и новые аппаратные платформы:

  • KX-1000 с производительностью до 100 Гбит/с в режиме L4 FW + Application Control;
  • KX-100-KB1, представляющая собой модификацию модели KX-100 с увеличенным числом гигабитных портов и возможностью установки в стойку.

Среди других изменений — GeoIP-политики, которые позволяют ограничивать трафик из отдельных стран, а также ролевая модель доступа (RBAC) в консоли управления Open Single Management Platform, что даёт возможность разграничивать права пользователей. Кроме того, теперь реализована миграция политик с Fortinet.

Компания также заявила, что до конца 2025 года планирует пройти сертификацию ФСТЭК России для обновлённого решения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru