Министерство цифрового развития, связи и массовых коммуникаций Республики Коми информирует

Рекомендации, направленные на минимизацию угроз информационной безопасности и повышению уровня защищенности инфраструктуры

1.      Уязвимость кластера высокой доступности операционных систем FortiOS и прокси

сервера для защиты от интернет-атак FortiProxy (BDU:2024-00117, уровень опасности по CVSS 3.0 - высокий), связанная с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с повышенными привилегиями путем отправки специально сформированных HTTP или HTTPS-запросов.

«---»

В случае невозможности установки обновления программного обеспечения необходимо принять следующие компенсирующие меры:

- отключить (удалить) неиспользуемые учетные записи, а также учетные записи недоверенных пользователей;

- осуществить принудительную смену паролей пользователей;

- использовать средства обнаружения и предотвращения вторжений;

- использовать антивирусные средства защиты для отслеживания средств эксплуатации уязвимостей;

- использовать средства межсетевого экранирования уровня веб-приложений для ограничения возможности удаленного доступа.

2.      Уязвимость веб-интерфейса управления системы обмена сообщениями Cisco Unity

Connection (BDU:2024-00118, уровень опасности по CVSS 3.0 - высокий), связанная с отсутствием аутентификации в прикладном программном интерфейсе. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды с root-привилегиями путем загрузки специально сформированных файлов.

«---»

В случае невозможности установки обновления программного обеспечения необходимо принять следующие компенсирующие меры:

- использовать средства межсетевого экранирования уровня веб-приложений для ограничения возможности удаленного доступа;

- использовать сторонние средства удаленного доступа пользователей к программному продукту из общедоступных сетей.

3.      Уязвимость веб-интерфейсов средств контроля сетевого доступа Ivanti Connect

Secure и Ivanti Policy Secure (BDU:2024-00249, уровень опасности no CVSS 3.0 - критический), связанная с непринятием мер по нейтрализации специальных элементов, используемых в команде ОС. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды путем отправки специально сформированных запросов.

«---»

 В случае невозможности установки обновления программного обеспечения необходимо принять следующие компенсирующие меры:

- осуществить импорт файла mitigation.release.20240107.1.xml через портал загрузки;

- отключить (удалить) неиспользуемые учетные записи, а также учетные записи недоверенных пользователей;

- произвести принудительную смену паролей пользователей;

- использовать средства обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации;

- использовать антивирусные средства защиты для отслеживания средств эксплуатации уязвимостей;

- использовать средства межсетевого экранирования уровня веб-приложений для ограничения возможности удаленного доступа.

4.      Уязвимость программной платформы на базе git для совместной работы над кодом GitLab (BDU:2024-00259, уровень опасности по CVSS 3.0 - критический), вызванная возможностью отправки письма с кодом для сброса пароля на неподтвержденные email-адреса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к учетной записи произвольного пользователя через манипуляции с формой восстановления забытого пароля.

«---»

В случае невозможности установки обновления программного обеспечения необходимо обеспечить использование двухфакторной аутентификации для пользователей информационной инфраструктуры.

5.      Уязвимость интерфейса J-Web операционных систем Juniper Networks Junos OS на устройствах серий SRX и EX (BDU:2024-00263, уровень опасности по CVSS 3.0 - критический), связанная с возможностью записи за границами буфера в памяти. Эксплуатация указанной уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольный код. «---»

В случае невозможности установки обновления программного обеспечения необходимо принять следующие компенсирующие меры:

- отключить интерфейс J-Web;

- использовать механизм «белого» списка для ограничения доступа к уязвимым устройствам только доверенных хостов;

- ограничить доступ из внешних сетей (Интернет);

- использовать средства межсетевого экранирования уровня веб-приложений для ограничения возможности удаленного доступа.

6.      Уязвимость микропрограммного обеспечения Wi-Fi роутеров TP-Link Archer

АХ3000, Archer АХ5400, Archer АХЕ75 (BDU:2024-00306, уровень опасности по CVSS 3.0 - высокий), существующая в связи с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация указанной уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды.

«---»

В случае невозможности установки обновления программного обеспечения необходимо принять следующие компенсирующие меры:

- использовать средства межсетевого экранирования для ограничения удаленного доступа к устройству;

- использовать средства обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;

- ограничить подключения устройств к Wi-Fi сети;

- отключить/удалить неиспользуемые учетных записей пользователей;

- минимизировать пользовательские привилегии;

- ограничить доступ к устройству из внешних сетей (Интернет);

- использовать виртуальные частные сети для организации удаленного доступа (VPN).

7.      Уязвимость инструмента аналитики и управления безопасностью Fortinet FortiPorta

(BDU:2024-00307, уровень опасности по CVSS 3.0 - высокий), связанная с недостатками контроля доступа. Эксплуатация указанной уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии путем отправки специально сформированных НТТР-запросов.

«---»

В случае невозможности установки обновления программного обеспечения необходимо принять следующие компенсирующие меры:

- отключить/удалить неиспользуемые учетные записи пользователей;

- минимизировать пользовательские привилегии;

- ограничить доступ к программному средству из общедоступных сетей (Интернет);

- использовать средства межсетевого экранирования для ограничения возможности удаленного доступа;

- использовать виртуальные частные сети для организации удаленного доступа (VPN).

8.      Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center (BDU:2024-00325, уровень опасности по CVSS 3.0 - критический), существующая в связи с непринятием мер по нейтрализации специальных элементов. Эксплуатация указанной уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем внедрения специально сформированного шаблона.

«---»

В случае невозможности установки обновления программного обеспечения необходимо принять следующие компенсирующие меры:

- использовать антивирусное программное обеспечение для отслеживания средств эксплуатации уязвимости;

- использовать средства обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;

- использовать средства межсетевого экранирования для ограничения возможности удаленного доступа;

- ограничить доступ к программному средству из общедоступных сетей (Интернет); использовать виртуальные частные сети для организации удаленного доступа (VPN).

9.      Уязвимость компонента защиты от фишинга и вредоносных программ SmartScreen операционных систем Windows (BDU:2023-07961, уровень опасности по CVSS 3.0 - высокий), связанная с ошибками в настройках безопасности. Эксплуатация указанной уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности путем открытия специально созданной вредоносной ссылки.

«---»

10.    Уязвимость загрузчика операционной системы Red Hat Grub2 (BDU:2024-00324,уровень опасности по CVSS 3.0 - средний). Эксплуатация указанной уязвимости может позволить нарушителю обойти на системах с UEFI проверку пароля, установленного в Grub2 для ограничения доступа к загрузочному меню или командной строке загрузчика.

«---»

В случае невозможности установки обновления программного обеспечения необходимо принять следующие компенсирующие меры:

- использовать механизм SB AT UEFI (Secure Boot Advanced Targeting);

- ограничить физический доступ к устройству; реализовать контроль целостности UEFI.

11.    Проинформировать работников органа исполнительной власти (организации) о необходимости: проверки адреса отправителя, даже в случае совпадения имени с уже известным контактом; проверки писем, в которых содержатся призывы к действиям (например, «проинструктировать», «открыть», «прочитать», «ознакомиться», «дать ответ»), а также с темами про финансы, банки, геополитическую обстановку или угрозы; проверки ссылок, содержащихся в электронном письме, даже если письмо получено от другого пользователя информационной системы; внимательного отношения к письмам на иностранном языке, с большим количеством получателей и орфографическими ошибками.

12.    Создать отдельный электронный почтовый адрес, на который пользователи

информационной системы будут присылать письма, которые могут содержать вредоносное содержание (ссылку или вложение).

13.    Организовать отправку подозрительных писем, получаемых пользователями почтового сервиса, на единый (отдельный) электронный почтовый адрес для их проверки администратором безопасности. При возможности для этих целей использовать почтовую «песочницу».

14.    Осуществлять проверку всех поступающих на почту вложений с использованием средств антивирусной защиты, антиспама (при наличии). Обновить базы антивирусных средств защиты до актуальных версий.

15.    Использовать для работы с электронной почтой учетные записи пользователей

операционной системы с минимальными возможными привилегиями.

16.    Активировать механизмы проверки электронной почты, проверки подлинности

домена-отправителя (например, использовать технологии DKIM, DMARC, SPF), а также настроить проверку входящих писем с использованием этих технологий (в соответствии с рекомендациями Управления ФСТЭК России по Северо-Западному федеральному округу от 21 июля 2023 г. № 3/1017).

17.    Заблокировать (при возможности) получение пользователями информационной

системы в электронных письмах вложений с расширениями SCR, ADE, ADP, АРК, АРРХ, APPXBUNDLE, ВАТ, CAB, СНМ, CMD, COM, CPL, DLL, DMG, EX, ЕХ_, ЕХЕ, НТА, INS, ISP, ISO, JAR, JS, JSE, LIB, LNK, MDE, MSC, MSI, MSIX, MSIXBUNDLE, MSP, MST, NSH, PIF, PS1, SCT, SHB, SYS, VB, VBE, VBS, VHD, VXD, WSC, WSF, WSH.

18.    Организовать (при возможности) доставку писем от доменов отправителей по

«белым» или «черным» спискам.

19.    Настроить функции уведомления пользователей в тексте сообщения при получении электронного письма от внешнего отправителя.

20.    Уязвимость платформы виртуализации VMware Cloud Foundation(ранее Aria

Automation) и программного средства автоматизации VMware Aria Automation (ранее vRealize Automation) (BDU:2024-00382, уровень опасности по CVSS 3.0 - критический), связанная с недостатками контроля доступа. Эксплуатация указанной уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к программным средствам.

«---»

В случае невозможности установки обновления программного обеспечения рекомендуется принять следующие компенсирующие меры:

- использовать средства межсетевого экранирования для ограничения удаленного доступа;

- отключить/удалить неиспользуемые учетные записи пользователей;

- минимизировать пользовательские привилегии;

- ограничить доступ из внешних сетей (Интернет);

- использовать виртуальные частные сети для организации удаленного доступа (VPN).

21.    Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway) (BDU:2024-00383, уровень опасности по CVSS 3.0 - высокий), связанная с выходом операции за границы буфера в памяти. Эксплуатация указанной уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании.

«---»

В случае невозможности установки обновления программного обеспечения рекомендуется принять следующие компенсирующие меры:

- использовать средства межсетевого экранирования для ограничения возможности удаленного доступа;

- ограничить доступ к программному средству из общедоступных сетей (Интернет);

- использовать виртуальные частные сети для организации удаленного доступа (VPN).

22.    Уязвимость интерфейса командной строки платформы централизованного

управления сетью Aruba EdgeConnect Enterprise (BDU:2024-00386, уровень опасности по CVSS 3.0 - высокий), связанная с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды с root-привилегиями.

«---»

В случае невозможности установки обновления программного обеспечения рекомендуется принять следующие компенсирующие меры:

- минимизировать пользовательские привилегий;

- отключить/удалить неиспользуемые учетные записи пользователей;

- ограничить доступ к интерфейсу командной строки ECOS для недоверенных пользователей;

- использовать средства межсетевого экранирования для ограничения возможности удаленного доступа.

23.    Уязвимость драйвера мини-фильтра Windows Cloud Files cldflt.sysоперационной системы Windows (BDU:2024-00387, уровень опасности по CVSS 3.0 - высокий), связанная с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня SYSTEM.

«---»

В случае невозможности установки обновления программного обеспечения рекомендуется принять следующие компенсирующие меры:

- минимизировать пользовательские привилегии;

- отключить/удалить неиспользуемые учетные записи пользователей;

- использовать антивирусное программное обеспечение для отслеживания средств эксплуатации уязвимости.

24.    Уязвимость функции sessionReadRecord файла ext/session/sqlite3session.c системы управления базами данных SOlite (BDU:2024-00480, уровень опасности по CVSS 3.0 – высокий), связанная с переполнением буфера в динамической памяти. Эксплуатация указанной уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на конфиденциальность, целостность и доступность.

«---»

В случае невозможности установки обновления программного обеспечения рекомендуется принять следующие компенсирующие меры:

- ограничить доступ к интерфейсу управления базами данных из внешних сетей;

- использовать средства межсетевого экранирования для ограничения возможности удаленного подключения к системе управления базами данных.

25.    Уязвимость компонента wLogTitlesActionLen программного средства для

проектирования человеко-машинных интерфейсов Delta 1ndustrial Automation DOPSoft (BDU:2024-00481, уровень опасности по CVSS 3,0 высокий), связанная с возможностью переполнения буфера на основе стека. Эксплуатация указанной уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем открытия пользователем специально сформированного DPS-файла.

В целях предотвращения возможности эксплуатации данной уязвимости рекомендуется принять следующие компенсирующие меры:

- реализовать сегментирование сети для ограничения доступа к промышленному оборудованию;