UserGate предупреждает о множественных уязвимостях в Sangfor NGAF

Татьяна Никитина 11 Октября 2023 - 20:03

Корпорации

UserGate

Межсетевой экран

Межсетевые экраны нового поколения (NGFW)

Уязвимости программ

Патчи

...

UserGate предупреждает о множественных уязвимостях в Sangfor NGAF

В комбайне из NGFW и WAF производства Sangfor Technologies обнаружены пять уязвимостей, в том числе две критические. Китайский вендор в двух случаях выпустил патчи, остальные не смог подтвердить.

Множественные уязвимости в NGAF 8.0.17 обнаружили в середине прошлого месяца исследователи из watchTowr Labs. Центр мониторинга и реагирования UserGate удостоверился в наличии проблем и опубликовал предупреждение.

Выявленные уязвимости позволяют получить доступ к исходному коду продукта и локальным файлам (в режиме read only), добавить собственных пользователей SSO через SQL-инъекцию, а также получить информацию о конфигурации подключенных к устройству доменов, включая логин и пароль.

Причиной появления проблем являются слабый механизм аутентификации и возможность манипулирования ответами сервера Apache. К концу сентября Sangfor в ходе переписки признала наличие двух уязвимостей (возможности доступа к файлам на чтение и инъекции команд) и заявила о выпуске патчей, однако найти их в публичном доступе ни watchTowr, ни UserGate не удалось.

Три уязвимости Sangfor не смогла подтвердить, сославшись на ложноположительные срабатывания. В итоге авторы опасных находок опубликовали PoC-коды. Уязвимостям присвоены идентификаторы с CVE-2023-30802 по CVE-2023-30806.

По данным watchTowr, проблемы NGAF ставят под удар, в числе прочих, более 108 тыс. серверов с экземпляром продукта, приобретенного через маркетплейс AWS.

Специалисты Центра мониторинга и реагирования UserGate рекомендуют пользователям Sangfor NGAF принять меры защиты от эксплойта:

Закрыть внешний доступ к сервисам Firewall Report Center и Administrator Login Portal на портах 85 и 4433.
Проверить актуальность подписки на модуль Security updates.
Добавить в блокирующее правило IDPS следующие сигнатуры:

Sangfor NGAF Arbitrary file read;
Sangfor NGAF Remote code execution in loginout.php;
Sangfor NGAF Remote code execution in PHPSESSID;
Sangfor NGAF malicious SSO user creation;
Sangfor NGAF Content-Length Source Code Dump.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 14:19

Атаки на сайты DDoS-атаки Домашние пользователи Корпорации

Крупный интернет-провайдер Сибсети подвергся мощной DDoS-атаке

Утром 30 апреля интернет-провайдер «Сибсети» подвергся DDoS-атаке. Под удар попали филиалы компании в Новосибирске, Новокузнецке, Кемерове и Красноярске.

Как сообщили в «Сибсетях» одному из местных СМИ, атака началась около 10:00 по местному времени. При этом сервис Downdetector зарегистрировал первые жалобы ещё в 6:00. Наибольшее количество обращений пришлось как раз на 10:00.

«В данный момент новосибирский филиал подвергается активной DDoS-атаке, направленной на нашу инфраструктуру. Злоумышленники активизировались перед майскими праздниками, перегружая наши серверы множеством запросов. Это может вызывать временные сбои в работе личного кабинета и мобильного приложения "Мои Сибсети"», — заявили в отделе маркетинга компании на официальной странице во «ВКонтакте».

Как уточняет ТАСС, спустя час атака начала распространяться на другие регионы. Сначала — на Новокузнецк и Кемерово, затем на Красноярск.

Согласно данным Downdetector, основная масса жалоб поступает из Новосибирской области и Красноярского края. Более 80% пользователей сообщают о полном отсутствии домашнего интернета.

Напомним, что в ноябре 2024 года новосибирский филиал «Сибсети» уже подвергался масштабной DDoS-атаке, последствия которой устранялись в течение нескольких дней.

UserGate предупреждает о множественных уязвимостях в Sangfor NGAF

Читайте также