БДУ ФСТЭК России

Опубликованы новые результаты тестирования обновлений ПО

Уязвимость утилиты конфигурации TMOS Shell (tmsh) компонента Monitors средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств, BIG-IP Advanced Firewall Manager, BIG-IP Advanced Web Application Firewall, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Application Visibility and Reporting (AVR), BIG-IP Camer-Grade NAT (CGNAT), BIG-IP DDos Hybrid Defender, BIG-IP Domain Name System, BIG-IP Edge Gateway, BIG-IP Fraud Protection Service, BIG-IP Global Traffic Manager, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Inforcement Manager, BIG-IP SSL Orchestrator, BIG-IP Webaccelerator, BIG-IP WebSafe, позволяющая нарушителю повысить свои привилегии

BDU:2024-08273
CVE-2024-45844

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование «белого» списка IP-адресов для организации доступа к уязвимому программному обеспечению;
- блокирование доступа к утилите tmsh;
- использование средств обнаружения и предотвращения вторжений для контроля сетевого трафика по 22 и 443 TCP-портам;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий.

Использование рекомендаций:
https://my.f5.com/manage/s/article/K000140061

Уязвимость программного обеспечения управления ИТ-инфраструктурой SolarWinds Web Help Desk (WHD) связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём запуска специально сформированных команд

BDU:2024-08272
CVE-2024-28988

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
- ограничение доступа к программному обеспечению из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:
https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28988

Уязвимость микропрограммного обеспечения камер Synology BC500, Synology TC500 и Synology CC400W связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2024-08271

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимым камерам;
- ограничение доступа к камерам из внешних сетей (Интернет);
- использование «белого» списка IP-адресов для организации доступа к камерам;
- использование средств обнаружения и предотвращения вторжений для контроля трафика камеры с целью выявления аномальной активности устройства;
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к камерам.

Использование рекомендаций:
https://www.synology.com/en-us/security/advisory/Synology_SA_24_17

Уязвимость системы обнаружения и предотвращения вторжений Suricata связана с ошибками при проверке JA4-идентификатора, предоставляющего информацию о прикладном протоколе, который будет использован между клиентом и сервером. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путём отправки специально сформированного TLS/QUIC-трафика

BDU:2024-08255
CVE-2024-47522

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение сопоставления/регистрации JA4 при обработке TLS-трафика;
- использование средств межсетевого экранирования для фильтрации трафика, который может быть использован для эксплуатации уязвимости;
- ограничение использования QUIC-трафика до устранения проблем с JA4.

Использование рекомендаций:
https://github.com/OISF/suricata/security/advisories/GHSA-w5xv-6586-jpm7

Уязвимость функции Expressions платформы для мониторинга и наблюдения Grafana связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путём внедрения специально сформированных SQL-запросов

BDU:2024-08254
CVE-2024-9264

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- удаление пути к исполняемому файлу duckdb из переменного окружения PATH;
- удаление исполняемого файла duckdb;
- ограничение доступа к платформе из внешних сетей (Интернет);
- отключение/удаление неиспользуемых учётных записей пользователей платформы;
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к платформе.

Использование рекомендаций:
https://grafana.com/security/security-advisories/cve-2024-9264/
https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/

Обновление БДУ

Обновлены сведения об уязвимостях программного обеспечения

Добавлена информация о 37 уязвимостях программного обеспечения

Внесены изменения в 5 записей об уязвимостях программного обеспечения

Уязвимость платформы для разработки и доставки контейнерных приложений Docker Desktop связана с недостатком механизма кодирования или экранирования выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путём его внедрения через несанкционированную ссылку на исходный код GitHub

BDU:2024-08147
CVE-2024-9348

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения доступа к Docker Desktop;
- загрузка заимствованных компонентов только из доверенных источников;
- использование систем мониторинга и аудита контейнерных приложений для обнаружения попыток эксплуатации уязвимости;
- ограничение возможности получения доступа к Docker Desktop только с доверенных узлов (с доверенными IP-адресами).

Использование рекомендаций:
https://docs.docker.com/desktop/release-notes/#4343

Уязвимость компонента Central Web Authentication (CWA) операционной системы Cisco IOS XE связана с логическими ошибками реализации списка контроля доступа (ACL). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру авторизации и получить доступ к защищаемому сетевому сегменту путём отправки специально сформированных сетевых запросов

BDU:2024-08130
CVE-2024-20510

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- временное отключение компонента Central Web Authentication (CWA) и переход на другие методы аутентификации для предотвращения попыток эксплуатации уязвимости до установки обновлений;
- дополнение списка контроля доступа (ACL) правилами для IPv6 (при условии, что ACL используется только для IPv4) и для IPv4 (при условии, что ACL используется только для IPv6).

Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-c9800-cwa-acl-nPSbHSnA

Обновление БДУ

Обновлены сведения об уязвимостях программного обеспечения

Добавлена информация о 136 уязвимостях программного обеспечения

Внесены изменения в 24 записи об уязвимостях программного обеспечения

Уязвимость компонента Core сервера приложений Oracle WebLogic Server программной платформы Oracle Fusion Middleware связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к уязвимому программному обеспечению путём отправки специально сформированных сетевых пакетов

BDU:2024-08042
CVE-2024-21216

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- сегментирование сети (размещение сервера Oracle WebLogic в демилитаризованной зоне) для ограничения доступа к критически важным сегментам в случае компрометации сервера;
- использование инструментов мониторинга и систем обнаружения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет) к уязвимому программному обеспечению;
- блокирование T3 и IIOP-трафика с недоверенных хостов для предотвращения возможности эксплуатации уязвимости.

Использование рекомендаций:
https://www.oracle.com/security-alerts/cpuoct2024.html

Уязвимость консоли пользователя системы управления учётными записями Avanpost IDM связана с использованием опасных методов или функций. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2024-08038

Обновление программного обеспечения до версии 7.6.5 или выше

Уязвимость компонента Splunk Web платформы для операционного анализа Splunk Enterprise связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём записи файла в корневой каталог системы Windows

BDU:2024-08036
CVE-2024-45733

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение Splunk Web;
- ограничение доступа пользователей Splunk к системным директориям операционной системы Windows;
- минимизация привилегий пользователя Splunk на хостовой операционной системе Windows.

Использование рекомендаций:
https://advisory.splunk.com/advisories/SVD-2024-1003
https://research.splunk.com/application/c97e0704-d9c6-454d-89ba-1510a987bf72/

Уязвимость микропрограммного обеспечения устройств Moxa EDR-8010, EDR-G9004, EDR-G9010, EDR-G1002-BP, NAT-102 OnCell G4302-LTE4, TN-4900 связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к конфигурации устройства

BDU:2024-08035
CVE-2024-9137

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к уязвимым устройствам из внешних сетей (Интернет);
- использование «белого» списка IP-адресов для организации удалённого доступа к устройствам;
- использование систем обнаружения и предотвращения вторжений для детектирования и нейтрализации попыток эксплуатации уязвимостей.

Использование рекомендаций:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241154-missing-authentication-and-os-command-injection-vulnerabilities-in-routers-and-network-security-appliances

Обновление БДУ

Обновлены сведения об уязвимостях программного обеспечения

Добавлена информация о 70 уязвимостях программного обеспечения

Внесены изменения в 6 записей об уязвимостях программного обеспечения

Уязвимость JavaScript-библиотеки для безопасной очистки и защиты HTML-кода DOMPurify связана с недостатками проверки входных данных, содержащих признаки XSS-атаки. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовую сценарную атаку

BDU:2024-08024
CVE-2024-47875

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование политики защиты содержимого (Content Security Policy, CSP);
- анализ ограничений XSS-защиты в зависимости от используемого фреймворка и обеспечение соответствующей обработки возникающих исключительных ситуаций;
- использование проверки входных данных по «белым спискам»;
- использование средств межсетевого экранирования уровня веб-приложений.

Использование рекомендаций:
https://github.com/cure53/DOMPurify
https://github.com/cure53/DOMPurify/security/advisories/GHSA-gx9m-whjm-85jf

Уязвимость демона протокола маршрутизации rpd операционных систем Juniper Networks Junos OS и Junos OS Evolved связана с недостаточной обработкой исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путём отправки специально сформированного BGP-пакета

BDU:2024-08023
CVE-2024-39525

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение настройки трассировки BGP-пакетов;
- использование средств межсетевого экранирования для фильтрации BGP-трафика.

Использование рекомендаций:
https://supportportal.juniper.net/s/article/2024-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-When-BGP-nexthop-traceoptions-is-enabled-receipt-of-specially-crafted-BGP-packet-causes-RPD-crash-CVE-2024-39525?language=en_US
https://www.juniper.net/documentation/us/en/software/junos/cli-reference/topics/ref/statement/traceoptions-edit-protocols-bgp.html

Уязвимость библиотеки для конвертации файлов в формат base64 для загрузки файлов на сервер веб-приложения angular-base64-upload связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём загрузки специально сформированного файла на сервер

BDU:2024-08022
CVE-2024-42640

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- удаление папки demo из папки angular-base64-upload в каталоге установки зависимостей;
- использование средств межсетевого экранирования для ограничения доступа к папке demo.

Использование рекомендаций:
https://github.com/adonespitogo/angular-base64-upload

Уязвимость программной платформы на базе git для совместной работы над кодом GitLab связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, запускать конвейеры непрерывной интеграции и непрерывной доставки (CI/CD) на произвольных ветках программы

BDU:2024-07988
CVE-2024-9164

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение прав доступа пользователей и групп в GitLab на запуск конвейеров CI/CD;
- внедрение систем мониторинга для отслеживания активности в репозиториях и конвейерах CI/CD в целях предотвращения попыток эксплуатации уязвимости.

Использование рекомендаций:
https://about.gitlab.com/releases/2024/10/09/patch-release-gitlab-17-4-2-released/

Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure связана с непринятием мер по нейтрализации CRLF-последовательностей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с root-привилегиями путём внедрения специально сформированного POST-запроса

BDU:2024-07987
CVE-2024-37404

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- организация доступа к интерфейсу управления только со специально выделенного сетевого сегмента;
- использование средств межсетевого экранирования для ограничения доступа к интерфейсу управления;
- отслеживания несанкционированных административных действий в журналах безопасности информации.

Использование рекомендаций:
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-and-Policy-Secure-CVE-2024-37404?language=en_US