👀 Хакеры научили ViPNet обновлять компьютеры вредоносами Если вы админите сети с ViPNet и спали спокойно последние пару
Если вы админите сети с ViPNet и спали спокойно последние пару месяцев — пора просыпаться и пить корвалол. Positive Technologies выкатили разбор красивейшей атаки, которая тихо жила в инфре как минимум восьми контор с 1 июня по 14 июля. И самое смешное тут то, что хакерам не пришлось изобретать сложные сплойты для пробива периметра. Они просто взяли встроенную транспортную службу MFTP, через которую гоняются файлы, и заставили её работать на себя. Как говорится, за что боролись.
Вся магия держалась на старом добром Path Traversal. Захватываешь админский узел, формируешь кривой пакет обновления и отправляешь по легальному каналу. Система обновления радостно глотает подменную DLL-ку, инжектит вредоносный код куда надо и превращает узел в прокси. Никаких следов на жестком диске, загрузчик тянет бэкдоры, а отдельный скрипт заботливо подметает логи родными утилитами. Средства защиты даже не пискнули, ведь всё происходит внутри якобы доверенной среды между своими же узлами.
«ИнфоТеКС» уже выпустила исправления. До обновления компания советует отключить службу обновления ViPNet, а на координаторах HW и xFirewall остановить MFTP. Случай хорошо показывает, почему слово «защищённый» в названии продукта не отменяет сегментацию, контроль привилегий и мониторинг доверенного трафика.
#ViPNet, #Злыехакеры, #Уязвимости @SecLabnews