СёрчИнформ SIEM теперь получает список мошеннических ресурсов из БД ФинЦЕРТ

СёрчИнформ SIEM теперь получает список мошеннических ресурсов из БД ФинЦЕРТ

СёрчИнформ SIEM теперь получает список мошеннических ресурсов из БД ФинЦЕРТ

Компания «СёрчИнформ» выпустила обновление своей SIEM-системы, которое отметилось поддержкой автоматического импорта мошеннических доменов и IP-адресов из БД ФинЦЕРТ Банка России.

База регулятора состоит из адресов взломанных веб-ресурсов, замаскированных мошенниками, например, под сервисы онлайн-банкинга. Ориентируясь на БД ФинЦЕРТ, участники финансового рынка могут успешнее предотвращать инциденты и своевременно реагировать на них.

Обновлённая «СёрчИнформ SIEM» позволяет автоматизировать работу ИБ-отдела, который ранее был вынужден вручную собирать и добавлять мошеннические ресурсы в списки исключений.

Для подключения БД ФинЦЕРТ команде безопасности нужно будет просто указать путь в локальном хранилище, где лежит полученный из автоматической системы обработки инцидентов (АСОИ) CSV-файл.

После этого SIEM-система будет несколько раз в минуту сверять информацию в системе и в директории — так добавляются и актуализируются списки исключений.

Последние можно использовать в правилах контроля веб-трафика: если система выявит попытки получить доступ к ресурсу из чёрного списка, соответствующее уведомление отправиться ИБ-службе.

В сведениях об инциденте будет указан конкретный сотрудник или скомпрометированный узел.

 

«Такой подход упростит использование мер предосторожности и заставит их работать на практике», — объясняет Павел Пугач, системный аналитик «СёрчИнформ».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Критическая уязвимость в sudo позволяет запустить любую команду как root

Опубликован PoC-код для уязвимости в sudo, позволяющей с помощью опции -R (--chroot) обойти системные ограничения и выполнить вредоносный код с правами суперпользователя. Патч включен в состав обновления 1.9.17p1.

Появившаяся с выходом сборки sudo 1.9.14 функция chroot() создает изолированную среду, в которой текущий и дочерние процессы могут работать, не имея доступа к объектам и ресурсам за пределами указанного корневого каталога.

Соответствующая команда выполняется на уровне root. Ее использование определяется правилами, прописанными в файле /etc/sudoers.

Уязвимость повышения привилегий CVE-2025-32463 (9,3 балла по CVSS) возникла из-за того, что при изменении корневого каталога sudo начинает резолвить пути к файлам, не завершив проверку параметров настройки в sudoers.

В результате у злоумышленников появилась возможность с помощью этой утилиты протащить в систему стороннюю библиотеку общего пользования, создав фейковый /etc/nsswitch.conf.

Уязвимости подвержены sudo версий с 1.9.14 по 1.9.17 включительно. Патч вышел в прошлом месяце в составе сборки 1.9.17p1; он откатывает изменения, привнесенные в 1.9.14, с пометкой, что использовать chroot не рекомендуется.

По словам разработчиков, со следующим выпуском sudo от неудачно реализованной и редко используемой опции не останется и следа.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru