В Secret Net 7 исправлена критическая уязвимость - Форум по вопросам информационной безопасности

Вопрос актуальный, если не противоречит правилам форума, продублирую сообщение с сайта производителя:

"Компания «Код безопасности» объявляет о выпуске новой версии средства защиты информации Secret Net 7, где исправлена критическая уязвимость.

Ранее в продукте была обнаружена уязвимость, позволяющая пользователю повысить свои привилегии до административных путем запуска вредоносного программного обеспечения. Уязвимость зарегистрирована в банке данных угроз безопасности ФСТЭК под номером 2016-00436.

В связи с этим компания «Код Безопасности» выпустила обновление СЗИ Secret Net 7 (пакет обновления 6). В нем исправлены ошибки, позволяющие злоумышленникам эксплуатировать уязвимость, а также сделан ряд доработок, повысивших общий уровень защищенности продукта. Дистрибутив и порядок обновления доступны по ссылке.

Обновление обязательно к установке для всех пользователей СЗИ Secret Net 7. Его нужно устанавливать сразу после выпуска без ожидания окончания процедуры инспекционного контроля. В случае проведения обновления в аттестованной системе заказчику требуется направить письмо-уведомление в орган по аттестации. При этом переаттестации системы не требуется. Подробно порядок обновления СЗИ Secret Net 7 зафиксирован в обновленном разделе 6 Формуляра RU.88338853.501410.015 30.

При невозможности оперативного выполнения обновлений должны быть приняты технические меры, направленные на ограничение списка разрешенных к запуску приложений. Это необходимо для обеспечения запрета запуска вредоносного программного обеспечения. Ограничения на запуск реализуются с помощью механизма замкнутой программной среды, подробная инструкция по его настройке приведена по ссылке.

Специалистами «Кода безопасности» проведен анализ предыдущих редакций СЗИ Secret Net и обнаружено наличие аналогичной уязвимости в версиях Secret Net 6, Secret Net 6 (вариант К), Secret Net 5 и Secret Net 5.1.

В настоящее время «Код Безопасности» готовит обновления для продуктов Secret Net 6 и Secret Net 6 (вариант К). Выпуск исправленной версии запланирован на 15 апреля. До публикации обновления при эксплуатации Secret Net 6 должны быть приняты технические меры, направленные на ограничение списка разрешенных к запуску приложений для обеспечения запрета запуска вредоносного программного обеспечения.

СЗИ Secret Net 5 и Secret Net 5.1 были сняты с поддержки в соответствии с жизненным циклом продуктов и в связи с окончанием срока действия сертификатов соответствия. Обновление для данных версий Secret Net не выпускается. Заказчикам, эксплуатирующим Secret Net 5 и Secret Net 5.1, необходимо принять технические меры, направленные на ограничение списка разрешенных к запуску приложений, и запланировать обновление средства защиты до версии Secret Net 7 (пакет обновлений 6) в кратчайшие сроки."

В связи в выше изложенным хотелось бы запросить совет представителей Регулятора и коллег. Вопросы в порядке значимости для нашего предприятия:
Т.к продлили на большое количество экземпляров Secret Net 5 и Secret Net 5.1. сертификаты в центральном аппарате до 2018 года, не совсем понятно как толковать производителя в последнем абзаце сообщения об обновлении пятой версии до седьмой в "кратчайшие сроки". Может достаточно будет выполнить "возможные меры по устранению уязвимости" http://www.bdu.fstec.ru/vul/2016-00436 ? в части принятия "ограничительных мер на запуск пользователем произвольных приложений" (реально и так у пользователя нет никаких прав и возможностей воздействия - все через администратора, плюс отключаемый СД-ром).
Про седьмую и шестую версию понятно обходимся "заплатками". Но в случае с "пятеркой" мне надо не только купить кучу дистрибутивов, а провести переатестации. Хотелось бы к этому вопросу подойти планово.

Посмотрите первоисточник (ссылка есть в БДУ). Там большая статья про проблемы безопасности System Management Mode, до которого хакер может добраться через уязвимости в драйверах. В качестве примера приведена такая зеродейная на момент написания статьи уязвимость в драйвере, который устанавливался в составе всех версий Secret Net, там же есть ссылка на эксплойт.

Если не вдаваться в подробности, то чтобы воспользоваться этой уязвимостью, нарушителю нужно вызвать определенную функцию ядра ОС с нужными параметрами. К счастью для вас, скриптовыми языками этого не сделать, так что ему требуется каким-либо образом залить на атакуемую машину эксплойт в виде скомпилированного исполняемого файла.

Соответственно, для защиты от такой атаки от вас требуется:
1а. Исключить любую возможность копирования на защищаемую машину любых исполняемых файлов или
1б. Исключить возможность запуска на защищаемой машине любых исполняемых файлов, не входящих в перечень разрешенных.

Причем, строго говоря, п. 1а/1б нужно выполнить с помощью сертифицированных СЗИ (т.е., если у вас Secret Net стоит на несертифицированной ОС, ограничение запуска исполняемых файлов средствами ОС не канает).

2. В случае 1б при обновлении любых программ на защищаемом компьютере предварительно проверять, что в их программном коде нет закладок, способных воспользоваться данными уязвимостями (не представляю, как вы это сделаете).

3. Обеспечить отсутствие на защищаемой машине средств компиляции

Но вообще-то:
а) Автор статьи утверждает, что это - не единственная уязвимость, а следствие плохого качества кода драйверов, входящих в Secret Net, так что подобных и других уязвимостей там есть еще в товарных количествах
б) Использование СЗИ, снятого с поддержки, хоть и не является формальным нарушением, но говорит о том, что оператору системы глубоко наплевать на реальную защищенность этой системы. Последнее время товарищи из второго управления при проведении проверок уделяют таким операторам повышенное внимание :)

Так что на вашем месте я бы все-таки забюджетировал обновление

Так и есть - как получили продление сертификатов на три года от Регулятора на "пятую" версию, сразу запланировали в бюджет средства на обновление. Сейчас перевели на "семерку" только треть ОВТ. Планировали в этом году и следующем завершить работы.
Подпортила настроение "уязвимость" с информацией производителя СЗИ: запланировать обновление этой версии "в кратчайшие сроки".
Юридически правильно ли сегодня в нашей ситуации принять меры согласно http://www.bdu.fstec.ru/vul/2016-00436 по "дополнительному ограничению на запуск пользовательских приложений" (с пояснениями уважаемого malotavr) , а обновление до "семерки" выполнить в сроки, в течении которых действует продленный сертификат и аттестат соответствия?
Понятно, что в свете возникших обстоятельств придется все и делать "в кратчайшие сроки".

Юридически - да, правильно. Формально предъявить вам претезии не за что. Вы отреагировали на ставшую известной уязвимость, сделали все, что было возможно. Формально методические документы ФСТЭК не требуют обязательного апгрейда устаревших СЗИ. Если вы еще и утвердите у руководства план перехода на новую версию ("Нужно десять лямов, в этом году готовы выделить четыре, в 2017 - шесть"), то и по существу вас упрекнуть будет не в чем.

А мне "смешно" было, когда увидел это сообщение.

И куда столько лет они смотрели, что даже версию 6 типа "забанили"?)))
А ведь проверяли, сертификаты выдавали, деньги собирали....

А слабо теперь всем бесплатно обновить, т.к. сами накосячили и прошляпили?
Конечно ответ понимаю ;-)

Такие вопросы да про ядро Windows бы... оно всяко старше SN будет...

В продолжение темы - вышла "заплатка" на шестую версию, после установки которой Secret Net становится версии "7.6" и переатестация не требуется.
Вопрос по "пятерке" - приобретаем уже "семерку" и скоро будем готовы к ее установке. Переатестация обязательна? Можно обойтись ИК?

Приветствую!
Как тут (на форуме) уже неоднократно упоминалось: при замене СЗИ, перемещении АС в пределах помещения и т.п. вроде бы не критичных изменениях - следует обращаться в орган по аттестации и соглашаться с его решением. Могут разрешить в рамках периодического контроля эффективности, а могут обязать на повторную аттестацию.
Лично я бы переаттестовал. Ибо в первичном Аттестате (и всем комплекте аттестационных документов) указан SN5, а на деле будет SN7. А еще лучше - отказался бы от SN вообще, если защищается 1 автономный АРМ...

Уважаемый oko, принимаем к сведению.
Хотя если смотреть на возможность утечки, то протокола (на мой взгляд) было бы достаточно. Документальное состояние на объекте всегда можно пояснить. И тем более, что по аналогии с "шестой" версией, которая после обновления становится "седьмой" только уведомляем орган по аттестации.
Насчет отказа от SN не понятно - почему? У нас много локальных машин на SN.