UserGate NGFW блокирует эксплойт критической ICMP-уязвимости Windows

Татьяна Никитина 30 Марта 2023 - 14:34

Домашние пользователи

Корпорации

Windows

UserGate

Межсетевые экраны нового поколения (NGFW)

Уязвимости программ

Патчи

...

UserGate NGFW блокирует эксплойт критической ICMP-уязвимости Windows

В систему обнаружения вторжений (IDPS) межсетевого экрана UserGate NGFW 7.0 добавили новую сигнатуру, позволяющую детектировать эксплуатацию опасной уязвимости в реализации ICMP для Windows. Соответствующий патч Microsoft выпустила две недели назад.

Проблема драйвера tcpip.sys, отслеживаемая под идентификатором CVE-2023-23415, связана с управлением памятью и проявляется при обработке фрагментированных ICMP-пакетов с сообщением об ошибке.

Эксплойт возможен, когда на целевой машине запущено приложение, использующее сырой сокет, и позволяет удаленно вызвать сбой ОС или выполнить сторонний код посредством отправки сетевого пакета с вредоносными параметрами в IP-заголовке.

Степень опасности угрозы оценена в 9,8 балла CVSS, то есть как критическая. Обновления с патчем для клиентских и серверных Windows вышли 14 марта.

Пользователям UserGate NGFW v7 рекомендуется выполнить следующие действия:

установить последние обновления с сайта производителя ОС;
проверить актуальность подписки на модуль Security Updates;
добавить в блокирующее правило IDPS сигнатуру "Windows tcpip.sys driver Remote Code Execution".

Пользователям UserGate NGFW v6:

установить последние обновления с сайта производителя ОС;
убедиться, что на зоне внутренней сети отсутствует разрешение для ICMP-трафика, или создать запрещающее ICMP-трафик правило файрвола на внутренней зоне.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 14:19

Атаки на сайты DDoS-атаки Домашние пользователи Корпорации

Крупный интернет-провайдер Сибсети подвергся мощной DDoS-атаке

Утром 30 апреля интернет-провайдер «Сибсети» подвергся DDoS-атаке. Под удар попали филиалы компании в Новосибирске, Новокузнецке, Кемерове и Красноярске.

Как сообщили в «Сибсетях» одному из местных СМИ, атака началась около 10:00 по местному времени. При этом сервис Downdetector зарегистрировал первые жалобы ещё в 6:00. Наибольшее количество обращений пришлось как раз на 10:00.

«В данный момент новосибирский филиал подвергается активной DDoS-атаке, направленной на нашу инфраструктуру. Злоумышленники активизировались перед майскими праздниками, перегружая наши серверы множеством запросов. Это может вызывать временные сбои в работе личного кабинета и мобильного приложения "Мои Сибсети"», — заявили в отделе маркетинга компании на официальной странице во «ВКонтакте».

Как уточняет ТАСС, спустя час атака начала распространяться на другие регионы. Сначала — на Новокузнецк и Кемерово, затем на Красноярск.

Согласно данным Downdetector, основная масса жалоб поступает из Новосибирской области и Красноярского края. Более 80% пользователей сообщают о полном отсутствии домашнего интернета.

Напомним, что в ноябре 2024 года новосибирский филиал «Сибсети» уже подвергался масштабной DDoS-атаке, последствия которой устранялись в течение нескольких дней.

UserGate NGFW блокирует эксплойт критической ICMP-уязвимости Windows

Читайте также