Разъяснения компании «ИнфоТеКС» к публикациям об угрозах безопасности информационных систем в свете выявленных уязвимостей в ViPNet Client 4
В отношении статьи РИА Новости и ряда публикаций других СМИ об уязвимостях программного комплекса ViPNet Client 4, опубликованных в Базе данных угроз безопасности информации ФСТЭК России (BDU:2022-03008 и BDU:2022-03009), а также публикации НКЦКИ о недостатках в безопасности № ALRT-20220517.1, компания «ИнфоТеКС» повторно сообщает, что указанные в публикациях уязвимости были устранены специалистами компании «ИнфоТеКС» в ViPNet Client 4 версии 4.5.3, которая была сертифицирована ФСБ России и доступна заказчикам компании с марта 2022 года.
Особое внимание хотим обратить на тот факт, что эксплуатация выявленных уязвимостей была возможна только при грубом нарушении организационных мер, предусмотренных эксплуатационной документацией на программный комплекс, и только в том случае, если нарушитель имел права администратора рабочей станции, являющейся узлом управления защищенной сети ViPNet, что само по себе уже является компрометацией информационной системы. Ни внешний нарушитель (хакер), имеющий удаленный и/или физический доступ к узлам защищенной сети, кроме узла администратора безопасности, ни внутренний нарушитель (инсайдер), имеющий доступ к тем же узлам защищенной сети, использовать выявленные уязвимости не могли.
«В ходе доклада руководителя отдела расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар» на конференции PHDays было явно озвучено, что расследование проблемы на стороне управляющего компонента сети ViPNet не проводилось, в связи с чем выяснить источник заражения и точку распространения зараженного пакета обновлений не представляется возможным, — прокомментировал Александр Василенков, менеджер продуктов компании «ИнфоТеКС», — кроме того, упомянутые в ходе доклада риски эксплуатации уязвимости в смежных сетях, связанных механизмом межсетевого взаимодействия, полностью отсутствуют, так как механизм межсетевого управления не имеет технической возможности отправки обновлений в смежные сети».
Тем не менее, всем пользователям наших продуктов, кто еще не произвел обновление ПК ViPNet Client, мы настоятельно рекомендуем выполнить обновление до версии 4.5.3.65117 или выше, а также напоминаем о необходимости надлежащего выполнения требований эксплуатационной документации, входящей в комплект поставки программного комплекса, а также средств управления им (ViPNet Administrator, ViPNet Policy Manager).
Остались вопросы или нужна консультация?
Оставьте заявку и мы свяжемся с вами чтобы ответить на возникшие вопросы.
Источник: infotecs.ru
Анонсы наших мероприятий в Max и Telegram
Подпишись на канал и следи за анонсами ближайших вебинаров, читай свежие разборы кейсов и внедрений, полезные статьи и новости мира ИТ.
