Разъяснения компании «ИнфоТеКС» по инциденту, связанному с распространением вредоносного ПО через систему обновлений ViPNet
Компания «ИнфоТеКС» уведомляет о выявлении нового вектора целевой атаки с использованием транспортного протокола mftp ПК ViPNet Client 4. В эксплуатируемых сетях ПО ViPNet обнаружен новый вектор атаки на узле с установленным ViPNet Administrator. Эксплуатация выявленного вектора возможна, если был ранее скомпрометирован узел с ViPNet Administrator доверенной сети. Далее, со скомпрометированного управляющего узла доверенной сети через межсетевое взаимодействие отправляется специально сформированный конверт, имитирующий легитимное обновление ПО (содержащее произвольную вредоносную нагрузку), который позволяет проэксплуатировать уязвимость обработки относительных путей. Подготовка и рассылка поддельного обновления ПО через ранее скомпрометированный управляющий узел сети ViPNet направлена на нарушение целостности среды функционирования, повышения привилегий в системе атакуемого узла и выполнения на нем произвольного кода.
Для устранения уязвимости необходимо обновить ПО ViPNet до следующих версий:
-
Для сертифицированной сборки: ViPNet Client 4 до версии 4.5.3 (сборка 65211) или выше
-
Для релизной сборки: ViPNet Client 4 до версии 4.5.5 (сборка 24733) или выше – будет опубликовано в ближайшее время
В том случае, если ваша сеть связана с другими защищенными сетями, за администрирование которых Вы не отвечаете и не можете гарантировать выполнение по отношению к ним вышеуказанных требований, следует убедиться в отсутствии признаков заражения на узлах своей сети:
-
Проверить отсутствие файлов, согласно подготовленным YARA-правилам
-
Согласно «Инструкции по применению подготовленных YARA-правил с использованием утилиты YARA»
При наличии указанных признаков, а также при обнаружении подозрительной сетевой активности с узлов ViPNet на Координаторы и элементы инфраструктуры организации, незамедлительно обращайтесь в службу технического сопровождения ИнфоТеКС.
В любых случаях настоятельно рекомендуем:
1. Убедиться в выполнении требований эксплуатационной документации и правил пользования продуктов ViPNet на узлах защищенной сети ViPNet.
2. Обратить внимание:
- на отсутствие полномочий администратора у пользователей, работающих на узлах сети ViPNet;
- на наличие свежих обновлений установленного антивирусного ПО;
- на актуальность версий установленных продуктов ViPNet.