Критическая дыра в BMC трехлетней давности актуальна и для серверов QCT

Критическая дыра в BMC трехлетней давности актуальна и для серверов QCT

Эксперты Eclypsium обнаружили, что серверы от Quanta Cloud Technology тоже уязвимы к атакам Pantsdown (англ. «застать врасплох»), об угрозе которых стало известно еще в 2019 году. Проблема связана с наличием критической уязвимости в BMC-контроллерах, которая позволяет захватить контроль над хостом и получить доступ к другим серверам в сети.

Микроконтроллеры BMC (Baseboard Management Controller) широко используются для удаленного управления серверными платформами. Они устанавливаются на материнской плате или подключаются как плата расширения по шине PCI и всегда активны, вне зависимости от состояния хост-сервера.

Уязвимость CVE-2019-6260 (9,8 балла CVSS), получившая известность как Pantsdown, позволяет получить удаленный доступ на чтение / запись к физическому пространству адресов BMC и выполнить любой код на сервере. В случае успешного эксплойта злоумышленник сможет украсть важные данные, перезаписать прошивку, развернуть руткит, вывести из строя хост-сервер и добраться до других серверов в той же группе IPMI — например, для внедрения в сеть шифровальщика.

После того, как стало известно об опасной находке (январь 2019), несколько крупных производителей серверных продуктов проверили свои портфолио и опубликовали информационные бюллетени, в том числе Supermicro, IBM, HP и Gigabyte. В прошлом году выяснилось, что проблема также затрагивает серверы QCT — решения для ЦОД, которые используют, в частности, Facebook и Rackspace.

Специалисты Eclypsium создали PoC-эксплойт для Pantsdown, который успешно отработал на QuantaGrid D52B с новейшей публично доступной прошивкой. Вендору сообщили о проблеме в октябре; в прошлом месяце вышло соответствующее обновление, которое распространяется в частном порядке — публикации, как узнали авторы отчета, не предвидится.

Из-за этого в Eclypsium не смогли определить, сколько QCT-серверов все еще под угрозой. Известно только, что Pantsdown актуальна для моделей D52BQ-2U, D52BQ-2U 3UPI и D52BV-2U, которые используют уязвимую версию BMC (4.55.00). Во избежание таких неприятностей, как iLOBleed, пользователям рекомендуют своевременно обновлять прошивки и регулярно проверять их на наличие признаков компрометации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

За кражу коммерческой тайны в России сажают менее чем в 10% случаев

Эксперты InfoWatch изучили официальную статистику по уголовным делам о незаконном получении и разглашении сведений, составляющих коммерческую, налоговую или банковскую тайну (статья 183 УК РФ). Как оказалось, в период с 2019 года по 2021-й судами первой инстанции было рассмотрено 188 таких дел и осуждено 117 человек.

Исследование проводилось по данным Государственной автоматизированной системы РФ «Правосудие». Более 63% дел рассматривались в рамках ч. 3 ст. 183 УК РФ (незаконный сбор, разглашение, использование секретных сведений по сговору, в составе ОПГ или с отягчающими обстоятельствами, до пяти лет лишения свободы).

Более чем в 46% случаев деяния подсудимого квалифицировались по дополнительным статьям — чаще всего ст. 272 УК РФ (неправомерный доступ к компьютерной информации) и ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений).

Большинство ответчиков (70%) являлись рядовыми сотрудниками организации, 18% — сторонними нарушителями, более 10% — руководителями разного уровня.

Обвинительные приговоры вынесены по итогам разбирательства свыше 44% уголовных дел. Менее чем в 10% случаев осужденного отправили за решетку, в остальных судьи ограничились назначением штрафа, условного срока либо исправительных работ.

Самый суровый приговор был вынесен сотруднице Сбербанка — два года тюремного заключения (по всей видимости, прошлогодний вердикт по курскому делу о краже 2,4 млн руб. со счета доверчивого клиента, раскрывшего одноразовый код). Самый большой штраф, в 1 млн рублей, был назначен в 2020 году предпринимателю из Татарстана — по делу о краже коммерческой тайны, которое рассматривалось судом Владимирской области.

Исследователи также отметили, что в 80% случаев охраняемую законом информацию похищали у финансовых институтов и операторов связи. С этой целью осужденные использовали в основном мессенджеры и Сеть. Так, в начале 2019 года в Новосибирске тюремные сроки (правда, условные) получили бывшие сотрудники МТС, которые из корыстных побуждений украли данные более 500 тыс. абонентов.

Для профилактики преступлений, подпадающих под статью 183 УК РФ, компаниям рекомендуется использовать не только организационные, но и технические меры, в том числе возможности DLP и SIEM. Кстати, наличие DLP помогло «АКАДО-Екатеринбург» в 2017 году наказать двух мошенников, взломавших базу данных интернет-провайдера и похитивших ПДн части клиентов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru