Positive Technologies и АйТи БАСТИОН будут вместе мониторить ИБ

Positive Technologies и АйТи БАСТИОН будут вместе мониторить ИБ

Positive Technologies и АйТи БАСТИОН будут вместе мониторить ИБ

Компании Positive Technologies и «АйТи БАСТИОН» договорились о сотрудничестве в области мониторинга информационной безопасности, в рамках которого интегрировали систему выявления инцидентов в режиме реального времени MaxPatrol SIEM c системой контроля доступа привилегированных пользователей СКДПУ НТ.

«Сегодня для выявления киберинцидентов MaxPatrol SIEM собирает сведения более чем с 300 систем. Чтобы наш продукт давал пользователям полное представление о том, что происходит в IT-инфраструктуре их компании, мы постоянно расширяем число подключенных источников событий ИТ и ИБ, — комментирует Антон Александров, руководитель отдела развития сервисного и технологического партнерства Positive Technologies. — Чтобы повысить кибербезопасность организаций, использующих СКДПУ НТ, мы решили добавить ее в список источников нашей SIEM-системы. К слову, это уже наш второй совместный проект с компанией „АйТи БАСТИОН“: ранее с СКДПУ НТ была интегрирована система глубокого анализа технологического трафика PT Industrial Security Incident Manager».

MaxPatrol SIEM дает полную видимость инфраструктуры, сведения собираются активно и пассивно. Продукт используют более чем в 300 промышленных, транспортных, финансовых компаниях, частных и государственных, в органах власти. Согласно бухгалтерской отчетности АО «Позитив Текнолоджиз», подготовленной на основе РСБУ, MaxPatrol SIEM занимает 30% рынка кибербезопасности России.

СКДПУ НТ используется для решения задач защищенного удаленного доступа к информационным системам в различных отраслях, в том числе на крупных промышленных предприятиях, в банковской сфере и в IT-департаментах различных организаций. Комплекс обеспечивает контроль подключений как внутренних, так и внешних специалистов, предоставляя подразделениям ИТ и ИБ полную информацию о действиях пользователей в инфраструктуре. 

В последнее время практика удаленных подключений и удаленной работы носит массовый характер: речь идет и о небольших инсталляциях, и о системах, контролирующих свыше 15 000 целевых устройств и больше 3000 пользователей. Как следствие, количество анализируемой информации неуклонно растет. Это требует дополнительных ресурсов для мониторинга процессов и расследования возникающих инцидентов.

Подключение СКДПУ НТ в качестве одного из источников событий ИБ дает специалистам по безопасности и аналитикам возможность получать и просматривать в интерфейсе MaxPatrol SIEM данные, собранные и проанализированные системой контроля доступа привилегированных пользователей, — таким образом, оператору ИБ теперь будет доступна широкая картина инцидентов в части удаленного доступа. Это позволит компаниям реагировать на угрозы, выявляемые продуктом компании «АйТи БАСТИОН», предотвращать атаки или нелегитимные действия сотрудников и подрядчиков, а также поможет в проведении расследований.

Помимо этого, интеграция решений упрощает настройку MaxPatrol SIEM и обеспечивает быстрый старт работы для организаций, в инфраструктуру которых уже внедрен СКДПУ НТ, — преимущественно это госсектор, промышленные предприятия и банки.

«Мы позиционируем нашу систему СКДПУ НТ как дружелюбный продукт. Он достаточно легко интегрируется с различными системами, при этом давая службам ИБ и ИТ дополнительные инструменты для понимания общей картины происходящего в инфраструктуре. Интеграция с решениями Positive Technologies позволяет нам предлагать бизнесу комплексные решения и значительно экономить их финансовые и человеческие ресурсы при внедрении», — считает генеральный директор компании «АйТи БАСТИОН» Александр Новожилов. 

Интеграция решений компаний Positive Technologies и «АйТи БАСТИОН» для контроля удаленного доступа позволяет:

  • организовать единую точку безопасного подключения к IT-инфраструктуре с журналированием всех действий удаленных пользователей;
  • осуществлять мониторинг и контроль систем ИБ и ИТ и вовремя оповещать о них специалистов по информационной безопасности, повышая уровень защищенности систем;
  • повысить скорость реакции на возникающие угрозы безопасности;
  • оперативно проводить анализ состояния всей инфраструктуры, включая удаленные подключения, в едином интерфейсе MaxPatrol SIEM;
  • снизить затраты на внедрение и подключение нового источника информации к SIEM-системе.

Оба продукта внесены в единый реестр российского ПО, а корректность их совместной работы проверена специалистами компаний Positive Technologies и «АйТи БАСТИОН». В ходе испытаний были протестированы различные сценарии доступа, реализована генерация всех доступных событий в рамках СКДПУ НТ и проверена корректность их получения и корреляции в рамках MaxPatrol SIEM.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Две уязвимости в ksmbd Linux позволяют получить root через SMB

Без лишней мистики: исследователь в области кибербезопасности BitsByWill подробно разобрал две критические уязвимости в ksmbd — встроенном в ядро Linux SMB-сервере. Речь о CVE-2023-52440 и CVE-2023-4130 — и самое неприятное, что они отлично склеиваются в рабочую эксплойт-цепочку.

Первая уязвимость, CVE-2023-52440, описывается как контролируемое SLUB-переполнение в функции ksmbd_decode_ntlmssp_auth_blob().

Как пишет BitsByWill, длина sess_key_len контролируется пользователем, и при определённой подаче данных можно переполнить фиксированный буфер sess_key во время вызова cifs_arc4_crypt. Проще говоря — достаточно модифицировать одну строку в ntlm-клиентской библиотеке (в примере — Impacket), чтобы сгенерировать специально подготовленное NTLM-сообщение и получить неаутентифицированное удалённое переполнение буфера с контролем размера и содержимого.

Вторая уязвимость, CVE-2023-4130, — это чтение за пределами буфера (OOB read) в smb2_set_ea(). Из-за плохой проверки расширенных атрибутов (EA) злоумышленник с правом записи на шаре может заставить ksmbd неправильно интерпретировать структуру и считать дополнительные записи. В результате соседние данные кучи попадают в xattr, откуда их можно извлечь через SMB3 queryInfo. То есть брешь позволяет вытянуть части памяти ядра и, например, сломать KASLR.

И вот где всё становится опасно: переполнение даёт запись, чтение даёт утечку. Связав CVE-2023-52440 и CVE-2023-4130, BitsByWill показал рабочий путь до реального ROP-эксплойта.

Для демонстрации потребовались учётные данные пользователя с правом записи на шару, поэтому исследователь пишет о 0-click с аутентификацией — формулировка спорная, но смысл понятен: если админ разрешил анонимную запись в шаре, шанс эксплуатации становится ещё выше.

Авторы анализа подчёркивают практические сценарии: модификация таблиц страниц для произвольного чтения/записи, вынимание секретов из соседних процессов или подготовка ROP-цепочки для исполнения кода в контексте ядра. Всё это — классика эскалации привилегий, но в данном случае — прямо через SMB-интерфейс ядра.

Патчи уже вышли, и производители/поддерживающие дистрибутивы закрывали эти баги, но реальная угроза — не только в уязвимом коде, а в конфигурациях и устаревших системах. Как обычно, напомним: открытые для записи шар-ресурсы, устаревшее ПО и несвоевременное обновление — идеальная среда для подобных атак.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru