Suricata

Основная статья: Межсетевой экран (Firewall)

Suricata - свободный программный инструментарий IDS/IPS, выпущенный в 2010 году некоммерческой группой Open Information Security Foundation (OISF).

2024: Обнаружение трех уязвимостей

В Open source IPS-модуле Suricata обнаружены 3 критические уязвимости (CVE-2а024-23839, CVE-2024-23836, CVE-2024-23837 по международной классификации). Только за 2023 год в результате «пробелов» в защите в открытый доступ попало более 300 миллионов конфиденциальных документов. Об этом разработчик Suricata сообщил 22 февраля 2024 года.

Большинство отечественных средств защиты информации использует Suricata в качестве одного из модулей. Она применяется в решениях Diamond FW, Континент, Ideco, ИКС-сервер, TING, очень распространенных МЭ в России. Насчитывается более десятка тысяч установок по стране. Обнаруженные уязвимости имеют очень серьезную оценку, и их суть даже не раскрывается в официальных источниках (как всегда происходит первое время, чтобы снизить скорость появления средств эксплуатации уязвимостей злоумышленниками). Масштабирование и наведение порядка в сервисе обслуживания медоборудования — опыт компании Медсервиспро

По данным исследователей из компании Ideco, эксплуатация уязвимостей может происходить с помощью специально сформированной злоумышленниками веб-страницы, во время обработки которой в системе будет выполнен произвольный код (с правами модуля IPS в системе). Особенно опасно то, что уязвимы именно пограничные межсетевые экраны — таким образом злоумышленники могут получить бэкдор в локальную сеть и уже ничто не способно будет их остановить. Стоит отметить, что бэкдор используется хакерами в 21% кибепреступлений. Еще более опасно то, что часто для лучшей фильтрации трафика эти же устройства осуществляют расшифровку HTTPS-трафика, потенциально позволяя таким образом хакерам возможность получения доступа к конфиденциальной информации (включая логины и пароли) и возможность подменять трафик (например, данные о получателе денежных переводов).

Еще тяжелее приходится разработчикам, не использующим «чистый» Open source-модуль (в обновленной версии Suricata есть исправления данных уязвимостей), а развивающих собственный форк (собственные разработки на основе взятого в прошлом кода модуля) — в таком случае исправление ошибок может занять гораздо больше времени, при этом эксплуатация уязвимости может быть возможна, хотя и иногда с неочевидным вектором атаки. Проблема может возникнуть у тех, кто использует не обновленные коммерческие продукты. Согласно статистике, более 75% компаний не обновляют ПО вовремя, что влечет серьезные инциденты, связанные со взломом.

По состоянию на 22 февраля 2024 года ни один из отечественных вендоров, кроме Ideco, не выпустил «заплатки», указали в компании. Готовых эксплойтов у злоумышленников нет. Возможно, в будущем появятся настройки, способные сократить вектор атак.

В последней версии Suricata обнаруженные уязвимости устранены. Однако, чтобы максимально защитить конфиденциальную информацию компании, стоит проверить наличие последних версий всех систем безопасности.