Шлюз безопасности Ideco ICS теперь защищает пользователей от майнеров

Шлюз безопасности Ideco ICS теперь защищает пользователей от майнеров

Шлюз безопасности Ideco ICS теперь защищает пользователей от майнеров

Компания «Айдеко», российский производитель программных продуктов для построения сетевой инфраструктуры, представляет обновление флагманского решения. Шлюз безопасности Ideco ICS стал первым российским UTM-решением, позволяющим блокировать пулы криптомайнеров.

Новая группа правил в системе предотвращения вторжений блокирует работу криптомайнеров. Попытки подключения к пулам криптомайнеров журналируются и на основе этой информации администратор может расследовать происхождение программного обеспечения для майнинга (заражение вирусом-майнеров или недобросовестный сотрудник).

«Популярность криптовалют растет, и фокус злоумышленников сместился на самый простой способ получения прибыли с взломанных устройств — майнинг. Наше обновление предлагает пользователям эффективную защиту от киберугроз будущего и защищает их от нецелевого расхода электричества, вычислительных ресурсов и участия в бот-сетях», — отметил Дмитрий Хомутов, заместитель директора по развитию «Айдеко».

Также обновление будет включать возможность интеграции с несколькими доменами Active Directory. В версии 7.4.0 шлюз безопасности поддерживает интеграцию с несколькими доменами Active Directory. Теперь пользователей можно импортировать и авторизовывать из LDAP-группы или группы безопасности менее, чем за пять минут.

Помимо этого, компания улучшила работу модуля обработки веб-трафика. Оптимизация модуля контент-фильтра способствует ускорению обработки веб-трафика на 30%. Пользователи практически не будут замечать задержки трафика.

Интеграция с SIEM — еще одно нововведение. Для интеграции с используемыми SIEM-системами или другими внешними сервисами обработки логов в модуль мониторинга Ideco ICS добавлена возможность отправки логов на удаленный сервер по протоколу syslog.

Обновление доступно, в том числе, пользователям бесплатной редакции Ideco SMB и тестовых версий.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Критическая уязвимость в Microsoft Telnet Server: полный доступ без пароля

Специалисты по кибербезопасности обнаружили серьёзную дыру в старом Microsoft Telnet Server: теперь злоумышленники могут полностью обойти аутентификацию и получить права администратора без ввода пароля.

О проблеме сообщил исследователь под ником Hacker Fantastic, и ситуация действительно тревожная.

Ошибка кроется в том, как Telnet-сервер обрабатывает процесс аутентификации через NTLM. Вместо того чтобы проверять пользователя, сервер сам «доверяет» клиенту. Всё из-за неправильной инициализации настроек безопасности (SSPI-флагов) во время хендшейка.

Какие системы под угрозой?

  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2

То есть пострадали почти все старые версии Windows, где ещё мог остаться активным Telnet Server.

Как работает атака? Выпущенный PoC-эксплойт (telnetbypass.exe) делает следующее:

  1. Запрашивает взаимную аутентификацию с определёнными флагами.
  2. Использует пустой пароль для учётки администратора.
  3. Манипулирует настройками SSPI, чтобы сервер сам себя «обманул».
  4. Отправляет изменённое NTLM-сообщение типа 3 и получает доступ.

Результат: полный обход аутентификации и доступ к командной строке под админом.

Есть ли патч? К сожалению, пока нет. Поэтому пользователям советуют срочно:

  • Отключить Telnet Server на всех системах.
  • Перейти на более безопасные протоколы типа SSH.
  • Ограничить доступ к Telnet на уровне сети (разрешать только доверенным IP).
  • Блокировать Telnet через политики контроля приложений.

Чтобы снизить риск массовых атак, исходный код эксплойта пока не выложили в открытый доступ. Но бинарник PoC уже доступен, так что меры защиты лучше принять как можно быстрее.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru