Разработчики: | Sangfor Technologies |
Технологии: | ИБ - Межсетевые экраны |
Основная статья: Межсетевой экран (Firewall)
2023: Обнаружение множественных уязвимостей, позволяющих получить доступ к исходному коду
Центр мониторинга и реагирования UserGate 11 октября 2023 года предупредил о множественных уязвимостях в продукте китайского вендора – Sangfor’s Next Gen Application Firewall.
С их помощью злоумышленники могут получить доступ к исходному коду и локальным файлам (в режиме «read only»), возможность добавлять собственных пользователей SSO через SQL-инъекцию, а также получать информацию о конфигурации подключенных к устройству доменов, включая логин и пароль. Это возможно из-за слабого механизма аутентификации и последующего манипулирования ответами сервера Apache.
Кроме это в исследовании watchTour Labs продемонстрирован Proof of Concept для двух видов RCE: через параметр Username на странице входа в систему (параметр передается непосредственно в shell) и Cookie PHPSESSIONID.
Компания Sangfor заявила об осведомленности о некоторых упомянутых уязвимостях и выпуске патчей с исправлениями.
Специалисты watchTour Labs и Центра мониторинга и реагирования UserGate не нашли их в публичном доступе.
Оставшиеся уязвимости Sangfor не смогла подтвердить, ссылаясь на false positive.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1203)
Смарт-Софт (Smart-Soft) (5)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
Информзащита (2)
Positive Technologies (Позитив Текнолоджиз) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (720, 500)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
Linx (Связь ВСД) ранее Linxdatacenter (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
Лаборатория Касперского (Kaspersky) (1, 3)
А-Реал Консалтинг (1, 2)
Бифит (Bifit) (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Вебмониторэкс (ранее WebmonitorX) (1, 2)
Другие (7, 8)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 673
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
MaxPatrol SIEM - 2
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Другие 16
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
Kaspersky Endpoint Security - 3
Solar JSOC - 3
PT Network Attack Discovery (PT NAD) - 2
Другие 20
UserGate UTM - 4
Kaspersky Endpoint Security - 3
Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3
UserGate C-серия Межсетевые экраны - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 8
ИВК Кольчуга - 4
UserGate UTM - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 3
MaxPatrol SIEM - 2
Вебмониторэкс: ПроWAF - 2
Другие 21