Критические уязвимости в IPS-модуле Suricata
Компания Ideco сообщила, что в популярном open source IPS-модуле Suricata обнаружены три критические уязвимости (CVE-2а024-23839, CVE-2024-23836, CVE-2024-23837 по международной классификации). Только за 2023 г. в открытый доступ попало более 300 млн конфиденциальных документов.
Большинство отечественных средств защиты информации (межсетевые экраны, NGFW и системы обнаружения вторжений) используют Suricata в качестве одного из модулей. Он применяется в решениях Diamond FW, «Континент», Ideco, «ИКС-сервер», TING, очень распространенных в России межсетевых экранов. Обнаруженные уязвимости имеют очень серьезную оценку, и их суть даже не раскрывается в официальных источниках (чтобы замедлить появление средств эксплуатации уязвимостей злоумышленниками).
По данным специалистов Ideco, эксплуатация уязвимостей может происходить с помощью специально сформированной злоумышленниками веб-страницы, во время обработки которой в системе будет выполнен произвольный код (с правами модуля IPS в системе). Особенно опасно то, что уязвимы именно пограничные межсетевые экраны – таким образом злоумышленники могут получить бэкдор в локальную сеть. Еще более опасно то, что часто для лучшей фильтрации трафика эти же устройства расшифровывают HTTPS-трафик, потенциально позволяя хакерам получить доступ к конфиденциальной информации (включая логины и пароли) и подменять трафик (например, данные о получателе денежных переводов).
Еще сложнее ситуация для разработчиков, не использующих «чистый» модуль open source (в новой версии Suricata есть исправления данных уязвимостей), а развивающих собственный форк (собственные разработки на основе взятого в прошлом кода модуля) – в таком случае исправление ошибок может занять гораздо больше времени, при этом возможна эксплуатация уязвимости, хотя и иногда с неочевидным вектором атаки. Проблема может возникнуть у тех, кто использует необновленные коммерческие продукты.
Как подчеркивают в компании, пока никто больше из отечественных вендоров, кроме Ideco, не выпустил «заплатки», исправляющих данные уязвимости, но и на «темной стороне» даркнета не появились эксплойты для эксплуатации уязвимостей. На данный момент готовых эксплойтов у злоумышленников нет. Возможно, в будущем появятся настройки, способные сократить вектор атак.
Сейчас в последней версии Suricata обнаруженные уязвимости устранены. Однако, чтобы максимально защитить конфиденциальную информацию, стоит убедиться в наличии новых версий всех систем безопасности.