Лаборатория Касперского обнаружила уязвимости в SafeNet Sentinel

Лаборатория Касперского обнаружила уязвимости в SafeNet Sentinel

Лаборатория Касперского обнаружила уязвимости в SafeNet Sentinel

Эксперты Центра реагирования на киберинциденты «Лаборатории Касперского» – Kaspersky Lab ICS CERT – обнаружили 14 опасных уязвимостей и одну недокументированную возможность в программно-аппаратном комплексе SafeNet Sentinel, который широко используется во многих промышленных и критически важных IT-системах по всему миру. Эти бреши потенциально открывают удаленный доступ для злоумышленников и позволяют им скрывать свое присутствие. Количество пользователей систем, где были найдены уязвимости, может превысить миллион. «Лаборатория Касперского» сообщила компании-разработчику Gemalto о найденных уязвимостях, и производитель выпустил необходимые обновления.

В процессе исследования состояния информационной системы АСУ ТП, созданной одним из мировых лидеров, внимание экспертов «Лаборатории Касперского» привлек сервис hasplms.exe, который входит в состав SafeNet Sentinel и отвечает за проверку лицензионных ограничений использования ПО. Экспертам удалось получить удаленный доступ и коммуницировать с сервисом по открытому сетевому порту 1947. В итоге на устройстве с критически важным компонентом АСУ ТП оказалось возможным удаленно выполнить произвольный код от имени привилегированного пользователя системы, что ставило под угрозу непрерывность, доступность и целостность контролируемого технологического процесса. В общей сложности за год исследований эксперты Kaspersky Lab ICS CERT нашли в продукте Gemalto больше десятка брешей.  Все из них устранены разработчиком.

«Принято считать, что системы автоматизации технологических процессов – уникальные продукты, создаваемые их разработчиками независимо друг от друга с учётом потребностей разных отраслей и технологических процессов. Однако существует довольно много технологий, используемых одновременно различными производителями компонентов АСУ ТП. Так, продукт Gemalto встроен в решения других крупных разработчиков программного и аппаратного обеспечения. К сожалению, зачастую при выполнении проверок защищенности даже критически важных систем такие «встроенные» решения обходятся стороной, и в результате бреши остаются необнаруженными, – подчеркнул Владимир Дащенко, руководитель группы исследования уязвимостей систем промышленной автоматизации и Интернета вещей Kaspersky Lab ICS CERT. – Более того, закрытие критических уязвимостей в продуктах, которые используются, в частности, в системах управления технологическими процессами, не всегда проходит гладко – по разным причинам некоторые компании-разработчики не спешат оповещать своих пользователей об обнаруженной в их продукте проблеме. Однако это молчание, как показывает наша многолетняя практика, лишь дает дополнительные шансы злоумышленникам. Именно поэтому мы считаем, что информация о критических уязвимостях после их исправления должна транслироваться всем владельцам и операторам уязвимых систем».

Чтобы избежать возможных рисков и скрытых атак, эксперты Kaspersky Lab ICS CERT рекомендуют всем компаниям, использующим решение SafeNet Sentinel, срочно установить последнюю (безопасную) версию ПО (для получения инструкций по обновлению рекомендуем связаться с компанией Gemalto).  Чтобы убедиться, что данное обновление не приведет к потере работоспособности самого ПО, лицензионные ограничения на использование которого проверяются продуктом SafeNet Sentinel, также рекомендуем связаться с разработчиком этого ПО.

Для снижения риска эксплуатации уязвимостей специалисты Kaspersky Lab ICS CERT советуют по возможности закрыть порт 1947 (желательно на внешнем межсетевом и внутренних сетевых экранах), если это не приведет к дополнительным юридическим и бизнес-рискам.

Подробнее обо всех обнаруженных уязвимостях в решении SafeNet Sentinel компании Gemalto можно узнать из отчета «Лаборатории Касперского»: https://ics-cert.kaspersky.ru/reports/2018/01/22/a-silver-bullet-for-the....

Opera встроила защиту от вредоносных команд в буфере обмена

Opera решила ударить по одной из самых неприятных схем последних лет — атакам через буфер обмена. В браузере появилась новая функция Paste Protect, которая должна защищать пользователей от подмены скопированных данных и вредоносных команд, которые жертву заставляют вставить в терминал своими руками.

Функция включена по умолчанию и работает прямо на уровне браузера, а не ждет, пока антивирус или операционная система заметят что-то подозрительное.

Paste Protect объединяет два механизма. Первый — уже знакомая защита от перехвата, когда вредонос меняет содержимое буфера обмена. Классика жанра: пользователь копирует криптокошелек или банковский IBAN, а в буфере внезапно оказывается адрес злоумышленника. Opera должна распознать такую подмену и предупредить пользователя.

 

Второй механизм — новая защита от инъекции. Он нацелен на атаки в стиле ClickFix, где пользователя обманывают фейковыми CAPTCHA, ошибками браузера или проблемами с воспроизведением видео. Дальше всё просто: сайт предлагает скопировать команду для исправления проблемы и вставить её в терминал или PowerShell. После этого человек фактически сам запускает вредоносную нагрузку.

Opera теперь анализирует содержимое буфера обмена в реальном времени на Windows, macOS и Linux. Если браузер видит признаки шелл-скрипта, PowerShell-команды, закодированной нагрузки или другого подозрительного содержимого, копирование блокируется, а пользователь получает предупреждение. В уведомлении показывается короткий фрагмент заблокированного текста — до 120 символов.

Для продвинутых пользователей оставили обходные варианты. Например, функцию Hold to Copy, где блокировку можно снять после задержки, а также список доверенных сайтов. Это пригодится разработчикам, которые регулярно копируют команды с GitHub или из документации.

В Opera подчёркивают, что Paste Protect не отменяет здравый смысл. Если сайт просит вставить непонятную команду в терминал, это не починка браузера, а почти наверняка ловушка.

RSS: Новости на портале Anti-Malware.ru