20.05.2022 5:04
добавлено:

Разъяснения компании «ИнфоТеКС» к публикациям об уязвимостях в ViPNet Client 4

В отношении статьи РИА Новости и ряда публикаций других СМИ об уязвимостях программного комплекса ViPNet Client 4, опубликованных в Базе данных угроз безопасности информации ФСТЭК России (BDU:2022-03008 и BDU:2022-03009), компания «ИнфоТеКС» повторно сообщает, что указанные в публикациях уязвимости были выявлены и устранены специалистами компании «ИнфоТеКС» в ViPNet Client 4 версии 4.5.3, которая была сертифицирована ФСБ России и доступна заказчикам компании уже в марте 2022 года.

ViPNet Client_1

Особое внимание хотим обратить на тот факт, что эксплуатация выявленных уязвимостей была возможна только при грубом нарушении организационных мер, предусмотренных эксплуатационной документацией на программный комплекс, и только в том случае, если нарушитель имел права администратора рабочей станции, являющейся узлом управления защищенной сети, что само по себе уже является компрометацией информационной системы. Ни внешний нарушитель (хакер), не имеющий физического доступа к узлам защищенной сети, ни внутренний нарушитель (инсайдер), не имеющий привилегированного доступа к узлу сети, использовать выявленные уязвимости не могли.

ViPNet Client_2

«В ходе доклада руководителя отдела расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар» на конференции PHDays было явно озвучено, что расследование проблемы на стороне управляющего компонента сети ViPNet не проводилось, в связи с чем выяснить источник заражения и точку распространения зараженного пакета обновлений не представляется возможным, — прокомментировал Александр Василенков, менеджер продуктов компании «ИнфоТеКС», — кроме того, упомянутые в ходе доклада риски эксплуатации уязвимости в смежных сетях, связанных механизмом межсетевого взаимодействия, полностью отсутствуют, так как механизм межсетевого управления не имеет технической возможности отправки обновлений в смежные сети».

Принимая во внимание эту информацию, считаем, что степень важности выявленных угроз явно завышена. Компания «ИнфоТеКС» приветствует усилия профессионального сообщества по поиску уязвимостей, но не менее важно, чтобы публикуемая о них информация была актуальной и своевременной, а также не создавала ложных впечатлений о степени выявленных угроз.

В ситуации, когда многие компании, в том числе и государственные организации, подвергаются массированным кибератакам, призываем профессиональное сообщество консолидировать все силы для обеспечения устойчивого функционирования информационных систем Российской Федерации, а также быть сдержанными в оценках, чтобы не размывать фокус внимания специалистов по информационной безопасности и не отвлекать их от реальных угроз, способных нанести серьезный вред их ИТ-инфраструктуре.

Тем не менее, мы рекомендуем выполнить обновление программного комплекса ViPNet Client 4 до версии 4.5.3.65117 или выше, а также напоминаем о необходимости надлежащего выполнения требований эксплуатационной документации, входящей в комплекс поставки программного комплекса.

О компании

Компания «ИнфоТеКС» (АО «Информационные Технологии и Коммуникационные Системы») — российский разработчик и производитель высокотехнологичных программных и программно-аппаратных средств защиты информации.

В настоящее время портфель компании насчитывает более 60 продуктов для защиты информации.

Центральный офис компании расположен в Москве, представительства открыты в 9-ти городах.

Входит в ТОП-5 крупнейших вендоров в сфере защиты информации.