«ИнфоТеКС» выявил новую схему атаки на сеть ViPNet через систему обновлений

Компания «ИнфоТеКС» уведомляет о детектировании нового вектора целевой кибератаки, задействующего транспортный протокол mftp ПК ViPNet Client 4. Согласно официальному разъяснению компании, атака становится возможной при условии предварительной компрометации узла с установленным ViPNet Administrator в доверенной сети.

В дальнейшем со взломанного управляющего узла через межсетевое взаимодействие отправляется специально сформированный конверт, имитирующий легитимное обновление ПО, который позволяет проэксплуатировать уязвимость обработки относительных путей и выполнить произвольный код на атакуемом узле.

Для устранения угрозы компания выпустила обновления, а также опубликовала инструкции по проверке признаков заражения с использованием YARA-правил. Администраторам сетей, которые не могут гарантировать безопасность смежных защищенных сегментов, рекомендовано проверить узлы на наличие вредоносных файлов и подозрительной активности, а также оперативно обратиться в службу технического сопровождения «ИнфоТеКС» при обнаружении подозрительных признаков.

Основные рекомендации:

  • Обновить ПО ViPNet Client 4 до версии 4.5.3 (сборка 65211) или выше, а также ViPNet Administrator до версии 4.6.11.5113 или выше (для отдельных веток готовится актуальная сборка).
  • Проверить системы на наличие признаков заражения с использованием предоставленных YARA-правил.
  • В случае обнаружения подозрительной активности незамедлительно уведомить техническую службу компании.

Разработчик также рекомендует ограничить права администратора для пользователей, проверить актуальность антивирусных баз и версий установленных продуктов ViPNet.

 

Тематики: Безопасность

Ключевые слова: информационная безопасность, ИнфоТеКС, Киберугрозы