В новом Security Vision IRP появились менеджеры коннекторов данных

Олег Иванов 25 Ноября 2019 - 18:24

...

В новом Security Vision IRP появились менеджеры коннекторов данных

«Интеллектуальная безопасность» сообщает о выходе нового релиза актуальной на сегодняшний день версии системы Security Vision Incident Response Platform [IRP], предназначенной для автоматизации действий по реагированию на инциденты кибербезопасности.

В новой версии реализованы менеджеры коннекторов данных, необходимые для передачи команд конкретным коннекторам. Они могут автоматически распределять задачи между собой для обеспечения отказоустойчивости системы и равномерного распределения нагрузки. Менеджеры коннекторов данных могут быть установлены как локально, так и на удаленных серверах.

Также появилась возможность добавления пользовательских параметров конфигурации во внешнем коннекторе. При реализации коннектора с помощью скриптов необходимо указывать в скрипте ряд параметров, общих для всех скриптов. Данный функционал позволяет делать это гораздо быстрее и существенно упрощает администрирование.

Для менеджеров внешних коннекторов реализована регистрация действий по изменению настроек в разделе «Аудит пользователя». Регистрируются создание, изменение и удаление менеджера внешних коннекторов. Это необходимо для предотвращения ситуации, когда один пользователь удаляет изменения другого.

Помимо этого, появилось создание пользовательских событий при удалении уязвимости, нарушителя, угрозы, меры защиты из разделов «Область оценки риска», «Экспресс-оценка» и «Предлагаемые меры опросного листа». Данная информация отображается в логе пользовательских событий, способствуя синхронизации данных между серверами.

В новом релизе Security Vision Incident Response Platform [IRP] реализовано лицензирование по количеству типов коннекторов данных и количеству внешних коннекторов. Теперь можно выбирать не только весь модуль, но и декомпозировать его по количеству необходимых внешних коннекторов и коннекторов данных.

Более того, появилась возможность экспорта/импорта не только внешнего коннектора целиком, но и его отдельных составляющих - конфигураций и команд - с одного портала на другой. Процесс экспорта/импорта становится более простым, быстрым и гибким.

Реализован экспорт/импорт столбца типа «Связь с базой знаний» в свойстве типа «Таблица».

Появился функционал шаблонов свойств заявок. Теперь достаточно только один раз заполнить такой шаблон, занеся в него все необходимые значения свойств. Затем его можно постоянно применять для определенного типа заявки.

Реализована валидация кириллических названий справочников Базы знаний. При превышении количества допустимых символов названия выводится ошибка о превышении допустимой длины.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 21 Января 2026 - 09:50

Linux Уязвимости программ Малый и средний бизнес Корпорации

Критическая уязвимость в telnetd жила почти 10 лет и давала root-доступ

Исследователь по информационной безопасности Саймон Йозефссон обнаружил критическую уязвимость в компоненте telnetd, входящем в состав GNU InetUtils. Брешь незаметно существовала почти десять лет — с мая 2015 года — и позволяла удалённо входить в систему без аутентификации, сразу под пользователем root.

Проблема затрагивает все версии GNU InetUtils с 1.9.3 по 2.7 включительно. По сути, любой злоумышленник при определённых условиях мог получить полный контроль над системой, даже не зная пароля.

Как поясняет Йозефссон, сервер telnetd запускает системную утилиту /usr/bin/login, обычно от имени root, и передаёт ей имя пользователя. В уязвимой реализации это имя можно получить из переменной окружения, переданной клиентом.

Если клиент подсовывает значение -f root и подключается к серверу с опцией telnet -a (режим автологина), происходит следующее:

telnetd передаёт значение переменной окружения USER напрямую в login(1);
никакой проверки или экранирования не выполняется;
login(1) воспринимает -f root как служебный параметр;
а параметр -f означает вход без проверки пароля.

В итоге сервер автоматически аутентифицирует подключение как root — полностью обходя процесс валидации.

Обычное подключение по telnet не позволяет указать имя пользователя в таком виде. Однако в режиме автологина (-a) имя пользователя берётся не из командной строки, а именно из переменной окружения USER.

Именно здесь и кроется корень проблемы: telnetd доверял содержимому USER без какой-либо валидации. Достаточно было установить переменную окружения в значение -f root, и система сама открывала дверь.

Йозефссон показал рабочий пример атаки на системе Trisquel GNU/Linux 11, где после одной команды пользователь моментально получал root-доступ.

Как выяснилось, уязвимость появилась в коммите от 19 марта 2015 года и попала в релиз GNU InetUtils 1.9.3 от 12 мая того же года. Изначально изменение задумывалось как исправление проблемы с автологином в средах с Kerberos — разработчики добавили передачу имени пользователя через переменную окружения, но забыли проверить её содержимое.

Саймон Йозефссон рекомендует как можно скорее ограничить сетевой доступ к telnet-порту только для доверенных клиентов; установить патч или обновиться до версии GNU InetUtils, в которой уязвимости нет; в идеале — ещё раз задуматься, нужен ли telnet в инфраструктуре вообще.

Напомним, в этом месяце мы сообщали об опасной уязвимости в GNU Wget2, которая позволяет удалённо перезаписывать файлы.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »