Национальный координационный центр по компьютерным инцидентам (НКЦКИ) разослал уведомление о критических недостатках в безопасности системы VipNet, применяемых злоумышленниками в целенаправленных компьютерных атаках.
Первый недостаток в безопасности связан с возможностью обхода фильтров в компоненте ПО VipNet Client – «Контроль приложений». Данный компонент позволяет следить за сетевой активностью приложений, а также корректировать ее посредством создания блокирующих правил.
Для обхода действующих блокирующих правил злоумышленники отправляют соответствующий код управления драйверу Itcsrf.sys (Itcsrfv64.Sys) в составе ПО VipNet Client.
В результате для процесса, PID которого был отправлен на драйвер вместе с управляющим кодом, будет разрешена сетевая активность в обход к примененным правилам компонента «Контроль приложений».
Второй недостаток в безопасности связан с возможностью запуска произвольного кода на системе с установленным ПО VipNet Client, путем формирования специального пакета обновлений в центре управления VipNet Administrator и отправки его на подключенные к защищенной сети хосты.
Проблема безопасности заключается в том, что в составе комплекса VipNet Client и Vipnet Administrator имеется исполняемый файл LHA.exe, который имеет цифровую подпись INFOTECS и при этом подвержен уязвимости типа DLL (DLL hijacking).
Рекомендации
Выпущены соответствующие обновления безопасности, в связи с чем рекомендуем обновить уязвимое программное обеспечение до последней версии.
До установки обновлений безопасности рекомендуем принять следующие временные меры:
- Отключить настройку «Устанавливать обновления автоматически» в системе обновлений VipNet Client.
- На системах с ПО VipNet Client проверить запуски подозрительных процессов от Itcsrvup.exe (Itcsrvup64.exe)
- На системах с ПО VipNet Client проверить запуски подозрительных процессов из директории: C:\windows\temp\update_tmpdriv\
- На системах с ПО VipNet Client проверить срабатывание антивирусных решений на любые файла из директории: C:\windows\temp\update_tmpdriv\