Разработчики: | Sangfor Technologies |
Технологии: | ИБ - Межсетевые экраны |
Основная статья: Межсетевой экран (Firewall)
2023: Обнаружение множественных уязвимостей, позволяющих получить доступ к исходному коду
Центр мониторинга и реагирования UserGate 11 октября 2023 года предупредил о множественных уязвимостях в продукте китайского вендора – Sangfor’s Next Gen Application Firewall.
С их помощью злоумышленники могут получить доступ к исходному коду и локальным файлам (в режиме «read only»), возможность добавлять собственных пользователей SSO через SQL-инъекцию, а также получать информацию о конфигурации подключенных к устройству доменов, включая логин и пароль. Это возможно из-за слабого механизма аутентификации и последующего манипулирования ответами сервера Apache.
Кроме это в исследовании watchTour Labs продемонстрирован Proof of Concept для двух видов RCE: через параметр Username на странице входа в систему (параметр передается непосредственно в shell) и Cookie PHPSESSIONID.
Компания Sangfor заявила об осведомленности о некоторых упомянутых уязвимостях и выпуске патчей с исправлениями.
Специалисты watchTour Labs и Центра мониторинга и реагирования UserGate не нашли их в публичном доступе.
Оставшиеся уязвимости Sangfor не смогла подтвердить, ссылаясь на false positive.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1203)
Смарт-Софт (Smart-Soft) (5)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
Лаборатория Касперского (Kaspersky) (2)
TUV Austria (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (720, 500)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
R-Vision (Р-Вижн) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
Лаборатория Касперского (Kaspersky) (1, 3)
А-Реал Консалтинг (1, 2)
Бифит (Bifit) (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Вебмониторэкс (ранее WebmonitorX) (1, 2)
Другие (7, 8)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 673
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
MaxPatrol SIEM - 2
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Другие 16
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
Kaspersky Endpoint Security - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20