Патч для RCE, затронувшей 800К файрволов SonicWall, оказался неполным

Патч для RCE, затронувшей 800К файрволов SonicWall, оказался неполным

Патч для RCE, затронувшей 800К файрволов SonicWall, оказался неполным

В октябре прошлого года SonicWall по наводке Tripwire и Positive Technologies устранила критическую RCE-уязвимость в NSA — устройствах сетевой безопасности, используемых как файрвол или VPN. Повторное тестирование PoC-эксплойта показало, что созданный патч несовершенен, и его пришлось дорабатывать.

Уязвимость CVE-2020-5135 связана с ошибкой переполнения буфера и позволяет посредством HTTP-запроса спровоцировать отказ веб-приложения или даже выполнить вредоносный код. На момент выхода заплатки в интернете было обнаружено около 800 тыс. потенциально уязвимых хостов на основе SonicWall NSA.

Решив проверить надежность патча, в Tripwire вновь прогнали PoC-код — на сей раз на устройстве SonicWall NSA в облаке Azure. Как оказалось, последствия эксплойта CVE-2020-5135 в физических и виртуальных системах различны: пробный HTTP-запрос вернул большое количество двоичных данных, похожих на адреса памяти.

 

Подобный слив, по словам экспертов, можно использовать для проведения атаки на какой-нибудь RCE-баг.

Новую проблему (раскрытие конфиденциальной информации) зарегистрировали под идентификатором CVE-2021-20019. Степень ее опасности SonicWall оценила как умеренную — в 5,3 балла по CVSS.

Для большинства затронутых продуктов патчи уже вышли — списки опубликовали и PSIRT SonicWall (команда реагирования на ИБ-проблемы), и служба техподдержки. Попыток злонамеренного использования CVE-2021-20019 пока не обнаружено.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Клиенты RED Security SOC смогут получить компенсацию до 5 млн рублей

Согласно заявлениям компании RED Security, клиенты её центра мониторинга и реагирования на кибератаки (RED Security SOC) смогут получить бесплатное страхование киберрисков. В случае, если ущерб компании будет нанесён в результате инцидента в зоне ответственности SOC, заказчику компенсируют убытки — до пяти миллионов рублей.

Такое решение фактически делает RED Security одной из первых компаний, которая берёт на себя финансовую ответственность за возможные последствия кибератак, а не только за качество работы SOC по SLA-метрикам.

Как правило, центры мониторинга оценивают эффективность по скорости и точности выявления инцидентов. В RED Security SOC, например, время детектирования и анализа критичных событий не превышает 30 минут, что соответствует отраслевым стандартам. Теперь компания дополнительно гарантирует компенсацию в случае, если атака всё же приведёт к убыткам.

Страхование будет покрывать широкий спектр инцидентов — от вымогательских атак и утечек данных до хищения средств или вреда третьим лицам. Также предусматривается возмещение расходов на судебные издержки, если инцидент станет предметом разбирательства.

По словам Михаила Климова, руководителя направления сервисов RED Security SOC, решение о киберстраховании связано с тем, что заказчики должны быть уверены не только в технических показателях SOC, но и в реальной защите бизнеса от последствий кибератак.

Центр мониторинга RED Security работает круглосуточно, ежедневно обрабатывая более 8,6 млрд событий в информационной безопасности, выявляя цепочки атак и помогая клиентам пресекать их на ранних стадиях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru