ФСТЭК лишила Palo Alto сертификатов за неисправленные уязвимости

ФСТЭК лишила Palo Alto сертификатов за неисправленные уязвимости

ФСТЭК лишила Palo Alto сертификатов за неисправленные уязвимости

Федеральная служба по техническому и экспортному контролю (ФСТЭК) сообщила об аннулировании ранее выданных разработчикам программ сертификатов соответствия. Причиной такого решения послужило наличие в продуктах непропатченных уязвимостей.

Соответствующее сообщение было опубликовано на официальном портале службы, согласно ему, ФСТЭК аннулирует выданные АО «РНТ» сертификаты на систему PAN-OS 4.0 для межсетевых экранов серий РА-4000, РА-5000, РА-500 и РА-2000, применяемых для защиты информации ограниченного доступа в государственных информационных системах и информационных системах организаций.

На сайте ФСТЭК также перечислены следующие уязвимые сертифицированные средства защиты информации:

  • операционная система PAN-OS 4.0 для МЭ серии РА-4000 (сертификат соответствия от 4 апреля 2012 г. N 2609);
  • операционная система PAN-OS 4.0 для МЭ серии РА-5000 (сертификат соответствия от 4 апреля 2012 г. N 2610);
  • операционная система PAN-OS 4.0 для МЭ серии РА-500 (сертификат соответствия от 28 апреля 2012 г. N 2632);
  • операционная система PAN-OS 4.0 для МЭ серии РА-2000 (сертификат соответствия от 28 апреля 2012 г. N 2633).

Утверждается, что разработчик, коим является Palo Alto Networks Inc., не выпустил обновления для PAN-OS 4.0, которые бы устранили бреши в уязвимых системах. Уязвимости получили критический уровень опасности.

«В соответствии с пунктом 10 Положения о сертификации средств защиты информации, ФСТЭК России принято решение об аннулировании выданных АО «РНТ» сертификатов соответствия от 4 апреля 2012 г. N 2609 на операционную систему PAN-OS 4.0 для МЭ серии РА-4000, от 4 апреля 2012 г. N 2610 на операционную систему PAN-OS 4.0 для МЭ серии РА-5000, от 28 апреля 2012 г. N 2632 на операционную систему PAN-OS 4.0 для МЭ серии РА-500 и от 28 апреля 2012 г. N 2633 на операционную систему PAN-OS 4.0 для МЭ серии РА-2000 в Системе сертификации средств защиты информации по требованиям безопасности информации N РОСС RU.0001.01БИ00 (приказ ФСТЭК России от 23 января 2018 г. N 14)», — говорится в сообщении.

«Дополнительно сообщаем, что потребителям необходимо прекратить применение указанных изделий для защиты информации ограниченного доступа и обеспечить их замену на аналогичные средства защиты информации, сертифицированные на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9».

Примечателен тот факт, что срок действия отозванных сертификатов Palo Alto Networks Inc. истекает в апреле этого года. В этом контексте действия ФСТЭК России выглядят достаточно странными.

При этом банк данных угроз ФСТЭК содержит информацию, что перечисленные выше уязвимости имеют исправление от производителя. Однако по требованиям ФСТЭК всем новым версиям с исправлениями также требуется пройти инспекционный контроль, что нецелесообразно для версий продуктов с истекающими сертификатами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Грузии задержан легендарный аферист Саймон Леваев

В аэропорту Батуми задержан израильтянин Шимон Хают, более известный под именем Саймон Леваев — герой документального фильма «Аферист из Tinder» от Netflix. По данным правоохранительных органов, ему выдвинуты обвинения, связанные с многочисленными эпизодами мошенничества в разных странах.

Интеграция мессенджера MAX с порталом Госуслуги была протестирована ещё в начале августа. Авторизация в связке выполняется через Единую систему идентификации и аутентификации (ЕСИА) по протоколу OpenID Connect.

Как отмечают в РИА Новости, при запросе кода для входа на Госуслуги пользователю MAX предлагают ответить на ряд вопросов: переписываетесь ли вы с незнакомцами, просят ли назвать код из СМС, разговариваете ли с кем-то незнакомым по телефону. Для подтверждения требуется не простое нажатие, а свайп по экрану.

Если пользователь отмечает хотя бы один из признаков — появляется предупреждение о возможной попытке посторонних получить доступ к аккаунту Госуслуг. Кроме того, при любом обращении к сервису выводится напоминание о том, что коды доступа нельзя ни в коем случае передавать третьим лицам.

Также обсуждались предложения дать возможность восстанавливать доступ к Госуслугам через MAX. Эксперты восприняли такую идею с осторожностью: с одной стороны, это удобно, с другой — повышается риск подмены или компрометации учётной записи в мессенджере.

Самому Хаюту 35 лет, он родился в Бней-Браке. Для совершения афер он представлялся наследником израильского алмазного магната Льва Леваева и долго завоёвывал доверие жертв — эффектные свидания, поездки на якобы личном самолёте, размещение в дорогих отелях и знакомство с «членами семьи». Со временем он просил в долг деньги на перелёты и другие нужды — по разным оценкам, общая сумма ущерба составляет около $10 млн.

Хают-Леваев ранее уже попадал в поле зрения полиции: в 2015 году он был арестован в Финляндии и приговорён к трём годам лишения свободы. В 2019 году его задержали в Греции и экстрадировали в Израиль, но в 2020-м выпустили в период пандемии. Он также находится в розыске Норвегии, Швеции и Великобритании. В 2022 году на Netflix вышел фильм «Аферист из Tinder», подробно рассказывающий о его деяниях.

В Израиле поданы новые иски: Ирен Транов обвиняет Хаюта в хищении 414 тыс. шекелей (примерно $113 тыс.), а Рути Елизарова (урождённая Леваева) предъявила иск от имени семьи Леваевых о защите чести и достоинства.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru