В приложениях на основе OpenVPN выявлены опасные RCE-уязвимости

В приложениях на основе OpenVPN выявлены опасные RCE-уязвимости

В приложениях на основе OpenVPN выявлены опасные RCE-уязвимости

В VPN-клиентах, широко используемых в промышленности, обнаружены уязвимости, позволяющие удаленно выполнить произвольный код с высокими привилегиями. По данным Claroty, искомый эффект можно получить, заманив пользователя на вредоносный сайт.

Проблема актуальна для продуктов HMS Industrial Networks, MB connect line, PerFact и Siemens, полагающихся на технологию OpenVPN. Вендоры уже оповещены и приняли меры для исправления ситуации.

Как оказалось, приложения этих производителей используются как оболочка сервиса OpenVPN,. Клиент-серверная архитектура при этом обычно включает три элемента: фронтенд (простое GUI-приложение, задающее настройки VPN), бэкенд-сервис, получающий команды от пользователя (работает с привилегиями SYSTEM), и OpenVPN-демон, отвечающий за все аспекты VPN-соединения.

 

Управление бэкендом, как положено, осуществляется по выделенному каналу с использованием интерфейса сокетов, однако почти все протестированные продукты при этом передают данные в открытом виде и без каких-либо проверок на аутентичность. Это значит, что при наличии доступа к TCP-порту, на котором слушает бэкенд, кто угодно может загрузить на сервер новый файл конфигурации OpenVPN с командами, которые будут исправно выполнены.

Для этого достаточно вынудить пользователя кликнуть по ссылке на вредоносный сайт с JavaScript-кодом, способным локально отправить слепой запрос HTTP POST. По словам экспертов, это классический случай SSRF-атаки (подменой запросов на стороне сервера), и злоумышленнику даже не придется поднимать собственный сервер OpenVPN.

Исполнение стороннего кода возможно только в тех случаях, когда автор атаки находится в том же домене сети, что и жертва, или на ее компьютере открыт удаленный доступ по SMB.

Наличие уязвимости подтверждено для четырех популярных продуктов:

  • eCatcher производства HMS Industrial (CVE-2020-14498);
  • OpenVPN-Client от PerFact (CVE-2021-27406);
  • клиент SINEMA Remote Connect компании Siemens (CVE-2021-31338);
  • mbConnect Dialup от MB connect line (CVE-2021-33526 и CVE-2021-33527).

В первом случае проблема оценена как критическая (9,6 балла по CVSS), в остальных — как высокой степени опасности. Производители уже внесли исправления в свои коды и опубликовали рекомендации по смягчению угрозы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Positive Technologies назвала новые тенденции в фишинговых атаках

На пресс-конференции «Какими будут фишинговые атаки в ближайшем будущем», прошедшей в рамках фестиваля Positive Hack Days, руководитель направления аналитических исследований Positive Technologies Ирина Зиновкина рассказала о текущих трендах в этой сфере.

По её словам, фишинг стал второй по популярности техникой для атак на организации, а для APT-группировок — основной.

Массовый рост и новые инструменты

Число фишинговых атак продолжает расти: в 2024 году прирост составил 33%, годом ранее — 30%. Основные последствия — утечки данных и сбои в работе компаний, нередко приводящие к остановке процессов на несколько дней из-за заражения системой или внедрения деструктивного кода.

Главная технологическая новинка — активное применение искусственного интеллекта. Злоумышленники используют ИИ не только для генерации правдоподобных сообщений, но и для создания аудио- и видеороликов с якобы обращениями от руководителей компаний (формат Fake Boss). Уже существуют сервисы, позволяющие сгенерировать такие фейки — их аренда стоит около 10 долларов. Ещё один распространённый приём — использование QR-кодов для маскировки ссылок.

По словам Зиновкиной, применение ИИ делает массовые атаки столь же эффективными, как и целевые, при этом требует минимальных ресурсов. Кроме того, всё чаще используется модель «атаки как услуга»: даже у людей без технической подготовки появляется возможность организовать фишинговую кампанию с помощью готовых инструментов.

Кого атакуют и зачем

По статистике Positive Technologies, в 2024 году наибольшее число фишинговых атак пришло на следующие отрасли:

  • 15% — государственные учреждения,
  • 10% — промышленность,
  • 9% — ИТ-сектор,
  • по 7% — медицина и образование/наука,
  • 6% — финансовые организации.

Особый интерес злоумышленники проявляют к ИТ-компаниям — как к «входной точке» в инфраструктуру их клиентов. Промышленные организации также нередко становятся мишенью из-за роли в цепочках поставок.

В 22% случаев целью атак была кража учётных данных сотрудников. Кроме того, часто объектом становятся документы, содержащие коммерческую тайну. Типичным для России сценарием стали веерные атаки — когда сразу несколько компаний подвергаются атаке по схожей схеме.

Практика защиты и примеры

Директор по информационной безопасности СДМ-Банка Владимир Солонин отметил, что фишинг остаётся серьёзной проблемой — банк сталкивается с ним с 2016 года. Он привёл примеры, когда технические средства защиты не сработали: в одном случае использовалось легитимное ПО с открытым кодом для шифрования данных, в другом — вредоносный код был распределён по ячейкам в таблице, а макрос собирал его в работающий фрагмент. Такие обходные пути позволяют избежать срабатывания стандартных защитных механизмов.

По его словам, значимым фактором в снижении рисков стала регулярная работа с персоналом. За 10 лет количество сотрудников, которых удавалось обмануть фишингом, уменьшилось в 10 раз — благодаря внутренним тренировкам и обучающим программам.

Новая разработка от Positive Technologies

Компания анонсировала выпуск собственного решения для защиты корпоративной электронной почты — PT Email Gateway. Релиз ожидается в конце 2025 года. Продукт объединит три антивирусных движка, базу индикаторов компрометации от PT ESC, анализатор ссылок и интеграцию с песочницей и другими защитными механизмами. Объём российского рынка таких решений, по оценке компании, составляет 6–7 млрд рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru