«Мемлекеттік техникалық қызмет» АҚ-ның KZ-CERT қызметі Интернеттің қазақстандық сегментін ақпараттық қауіпсіздік қатерлері тұрғысынан мониторингтеу барысында «Arcadyan» өндірушісі негізіндегі БҚ пайдаланылатын бағдарлауыштарда CVE-2021-20090 сәйкестендіргішімен әлеуетті осалдыққа бейімді IP-мекенжайларын айқындады.
CVE-2021-20090 – бұл аутентификацияны ескермеуге әкеп соғатын айналма жол осалдығы. Оны зиянкес пайдаланған кезде зақымдалған құрылғыны бақылауға алу мүмкіндігі пайдаланушылар үшін қауіпті болып табылады.
Осалдық маңыздылығының CVSS (Common Vulnerability Scoring System) бойынша бағалауы10-нан 9.8 болғанын атап көрсету қажет.
«Tenable» компаниясының зерттеу деректеріне сәйкес осалдық кемінде 17 өнім беруші шығарған миллиондаған үй бағдарлауыштарына (бірдей осал кодты базаны пайдаланатын басқа да IOT құрылғыларына) әлеуетті әсер етеді. Осы құрылғылар арасындағы ортақ тізбек — «Arcadyan» өндірушсінің бағдарламалық жасақтамасы.
Бұл осалдықты сәтті пайдалану зиянкеске аутентификация нысанынан тыс парақшаларға қолжетімділік алуға мүмкіндік туғызуы ықтимал. Түпнұсқалылығын тексеруден өтпеген зиянкес құпия ақпаратқа, оның ішінде бағдарлауыштың баптауларын өзгертуге сұрау салуларды орындау үшін пайдалануға болатын сұрау салулардың токендеріне қолжетімділік алуы мүмкін.
KZ-CERT қызметінің сарапшылары:
• «Arcadyan» компаниясының бағдарлауыштарын осалдықтар жойылған соңғы нұсқасына дейін жаңартуды;
• Серверді ықтимал «Path Traversal» — шабуылдары тұрғысынан тексеруді қатаң түрде ұсынады. Шабуыл расталған кезде жария етілуі мүмкін болған есептік жазбалардың парольдерін ауыстыруға кеңес береміз;
• Лог-файлдарды сыртқы сұрау салулар мен ауытқулардың болуына тексеруді;
• Кез келген SoHo бағдарлауышында қашықтықтан әкімшілендіру қызметтерін (WAN тарапынан) ажыратуды, сондай-ақ WAN-дағы веб-интерфейсті ажыратуды ұсынады.
«Мемлекеттік техникалық қызмет» АҚ баспасөз қызметі