| Разработчики: | Sangfor Technologies |
| Технологии: | ИБ - Межсетевые экраны |
Основная статья: Межсетевой экран (Firewall)
2023: Обнаружение множественных уязвимостей, позволяющих получить доступ к исходному коду
Центр мониторинга и реагирования UserGate 11 октября 2023 года предупредил о множественных уязвимостях в продукте китайского вендора – Sangfor’s Next Gen Application Firewall.
С их помощью злоумышленники могут получить доступ к исходному коду и локальным файлам (в режиме «read only»), возможность добавлять собственных пользователей SSO через SQL-инъекцию, а также получать информацию о конфигурации подключенных к устройству доменов, включая логин и пароль. Это возможно из-за слабого механизма аутентификации и последующего манипулирования ответами сервера Apache.
Кроме это в исследовании watchTour Labs продемонстрирован Proof of Concept для двух видов RCE: через параметр Username на странице входа в систему (параметр передается непосредственно в shell) и Cookie PHPSESSIONID.
Компания Sangfor заявила об осведомленности о некоторых упомянутых уязвимостях и выпуске патчей с исправлениями.
Специалисты watchTour Labs и Центра мониторинга и реагирования UserGate не нашли их в публичном доступе.
Оставшиеся уязвимости Sangfor не смогла подтвердить, ссылаясь на false positive.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144) ESET (ИСЕТ Софтвеа) (65) Инфосистемы Джет (64) ДиалогНаука (56) Информзащита (40) Другие (1191) Смарт-Софт (Smart-Soft) (5) Card Security (Кард Сек) (4) R-Vision (Р-Вижн) (4) Softline (Софтлайн) (4) Национальный аттестационный центр (НАЦ) (4) Другие (72) Солар (ранее Ростелеком-Солар) (8) А-Реал Консалтинг (6) Softline (Софтлайн) (3) Аксофт (Axoft) (2) Deiteriy (Дейтерий) (2) Другие (55)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 169) ESET (ИСЕТ Софтвеа) (11, 79) Positive Technologies (Позитив Текнолоджиз) (13, 68) Смарт-Софт (Smart-Soft) (5, 47) Доктор Веб (Dr.Web) (7, 45) Другие (714, 494) Смарт-Софт (Smart-Soft) (1, 5) R-Vision (Р-Вижн) (1, 4) Positive Technologies (Позитив Текнолоджиз) (2, 3) Trend Micro (2, 3) Ngenix (Современные сетевые технологии, ССТ) (2, 3) Другие (13, 12) Солар (ранее Ростелеком-Солар) (3, 7) А-Реал Консалтинг (3, 6) Positive Technologies (Позитив Текнолоджиз) (3, 4) Лаборатория Касперского (Kaspersky) (2, 4) SolidSoft (СолидСофт) (1, 1) Другие (12, 12) UserGate, Юзергейт (ранее Entensys) (3, 8) Лаборатория Касперского (Kaspersky) (1, 3) Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3) А-Реал Консалтинг (1, 2) ИнфоТеКС (Infotecs) (1, 1) Другие (6, 6) UserGate, Юзергейт (ранее Entensys) (6, 9) Positive Technologies (Позитив Текнолоджиз) (4, 5) ИВК (1, 4) X-Labs (Икс Лабз) (1, 1) Код Безопасности (1, 1) Другие (4, 4)Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 81 ESET NOD32 Business Edition - 51 Dr.Web Enterprise Security Suite - 35 Kaspersky Enterprise Space Security - 34 MaxPatrol SIEM - 33 Другие 666 Смарт-софт: Traffic Inspector Next Generation - 5 R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 Ngenix Облачная платформа - 2 StormWall: Многоуровневая распределенная система фильтрации - 2 Trend Micro: Deep Discovery - 2 Другие 16 Solar MSS - 3 Kaspersky Endpoint Security - 3 Solar JSOC - 3 А-Реал Консалтинг: Интернет-шлюз ИКС - 3 А-Реал Консалтинг: Межсетевой экран ИКС - 2 Другие 20 
