В тысячах серверов Citrix не закрыты критические уязвимости

В тысячах серверов Citrix не закрыты критические уязвимости

В тысячах серверов Citrix не закрыты критические уязвимости

В Citrix ADC и Gateway (ранее выпускались под брендом NetScaler) недавно устранили четыре уязвимости, позволяющие получить несанкционированный доступ к устройству и даже захватить контроль над ним. Проведенная Fox IT проверка показала, что несколько тысяч установок по всему миру до сих пор открыты для эксплойта.

Для исследования были отобраны две наиболее опасные уязвимости — CVE-2022-27510 и CVE-2022-27518. Обе допускают удаленную эксплуатацию, вторую злоумышленники начали использовать еще до выхода патча, поэтому эксперты решили выяснить ситуацию с латанием дыр на местах и ускорить процесс, опубликовав результаты.

Проблема CVE-2022-27510 (9,8 балла по шкале CVSS) классифицируется как обход аутентификации. Эксплуатация возможна в тех случаях, когда служба работает с настройками SSL VPN, CVPN, ICA-прокси или RDP-прокси, и позволяет атакующему получить доступ к устройству.

Соответствующие заплатки для контроллеров доставки приложений и защищенных шлюзов Citrix выпустила 8 ноября. В состав обновлений были также включены патчи к CVE-2022-27513 (захват контроля над устройством через фишинг) и CVE-2022-27516 (обход защиты от брутфорса).

Эксплойт CVE-2022-27518 (9,8 балла CVSS) позволяет без аутентификации удаленно выполнить любой код в системе, что грозит захватом контроля над устройством. Исправление доступно с 13 декабря.

В прошлом месяце в Fox IT провели сканирование интернета и обнаружили 28 тыс. серверов Citrix. Установить версию софта удалось далеко не во всех случаях; большинство экземпляров по оставшейся выборке используют версию 13.0-88.14, для которой CVE-2022-27510 и CVE-2022-27518 не страшны.

Второй по популярности версией оказалась 12.1-65.21, подверженная CVE-2022-27518. Поскольку эксплойт возможен лишь в том случае, когда сервис используется как SAML-совместимый провайдер (SAML SP или IdP), уязвимых экземпляров может оказаться меньше, чем найдено.

Более 1 тыс. серверов нуждаются в патче к CVE-2022-27510, порядка 3 тыс. содержат обе уязвимости. 

 

Повторные сканы показали, что число уязвимых серверов заметно сократилось — видимо, пользователей подстегнули второй бюллетень Citrix (о CVE-2022-27518) и предупреждение АНБ (PDF) об APT-атаках, использующих Citrix ADC как точку входа в целевую сеть. Лучше всего обстоит дело с патчингом в Нидерландах, Дании, Австрии, Франции, Сингапуре и Швейцарии — там уже вылечили больше половины уязвимого парка.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Госдума усилила ответственность за утечки персданных

Госдума приняла во втором и третьем чтениях поправки в законодательство, которые повышают ответственность за утечки и неправомерный оборот персональных данных. Они предусматривают многократное увеличение штрафов, вводят оборотные штрафы и уголовную ответственность.

Законопроект был внесен в Госдуму в начале декабря 2023 года и был принят в первом чтении практически сразу после новогодних каникул. С того времени в документ были внесены несколько поправок.

В частности, усилена ответственность за утечку биометрических данных, при этом размер штрафов для должностных лиц наоборот, уменьшен. Всего, как отметил член комитета по государственному строительству и законодательству Дмитрий Вяткин, который представлял документы, поступило 30 поправок, из которых было принято 14.

26 ноября, эти поправки, как сообщил «Интерфакс», были приняты Госдумой сразу в двух чтениях.

За незаконное распространение от 1 тыс. до 10 тыс. субъектов персональных данных или от 10 тыс. до 100 тыс. идентификаторов предлагается установить штрафы для граждан в размере от 100 тыс. до 200 тыс. рублей; для должностных лиц — от 200 тыс. до 400 тыс. рублей; для юридических лиц — от 3 млн до 5 млн рублей.

За утечку от 10 тыс. до 100 тыс. персональных данных или от 100 тыс. до 1 млн идентификаторов закон предусматривает штраф для граждан в размере от 200 тыс. до 300 тыс. руб.; для должностных лиц — от 300 тыс. до 500 тыс. руб.; для юридических лиц — от 5 млн до 10 млн руб.

Если было скомпрометировано более 100 тыс. субъектов персональных данных или более 1 млн идентификаторов, размер штрафа вырастет до 400 тыс., 600 тыс. и до 15 млн рублей.

При рецидиве — до 600 тыс. рублей для граждан и до 1,2 млн для должностных лиц, для юридических лиц — от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 20 млн руб. и не более 500 млн руб.

Вводится административная ответственность и за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных: о намерении осуществлять обработку персональных данных — штраф на граждан в размере от 5 тыс. до 10 тыс. руб.; на должностных лиц — от 30 тыс. до 50 тыс. руб.; на юридических лиц — от 100 тыс. до 300 тыс. руб.

Также вводится ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации или аутентификации с использованием его биометрических персональных данных.

В ряде случаев утечек штраф для компаний может быть снижен при наличии смягчающих обстоятельств. К ним отнесено три совокупных фактора: объём вложений в ИБ не ниже 0,2% от оборотов в течение трех лет; отсутствие привлечения к административной ответственности по целому ряду составов, связанных с соблюдением мер информационной безопасности; уровень цифровой зрелости.

Незаконное использование персональных данных влечет уже уголовную ответственность. В качестве наказания по новой статье УК виновнику грозит штраф до 300 тыс. рублей или в размере дохода осужденного за период до одного года, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок. Ответственность за утечку биометрических данных, персданных несовершеннолетних, при установлении корыстного мотива или в особо крупном размере ответственность может быть до 10 лет лишения свободы.

Закон в случае его подписания президентом вступит в силу по истечении 180 дней после дня его официального опубликования.

«Дополнительная ответственность подтолкнёт бизнес инвестировать в развитие инфраструктуры безопасности и защиту персональных данных пользователей. Компаниям будет проще вложить средства в кибербез, чем раз за разом платить оборотные штрафы. Угроза уголовного преследования станет дополнительным сдерживающим фактором для злоумышленников», - говорится в разъяснениях Минцифры, выпущенных сразу после принятия Госдумой законопроектов.

Вместе с тем целый ряд вопросов остается пока без ответа. В частности, высказывались опасения, что ужесточение ответственности может рикошетом ударить по компаниям, занимающимся мониторингом утечек данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru