На фоне последних фейлов западных вендоров, связанных с FollinaGate и обрушением дырявых Confluence под натиском атак с использованием непропатченных 0-day, могла пройти незамеченной серьезная работа отечественных специалистов в сфере инфосек. Но мы это исправим.

Четко сработали специалисты Лаборатории Касперского, которые выявили две критические уязвимости в российском сервисе видеоконференций TrueConf Server. Не менее слаженно отработал сам вендор, который в кратчайшие сроки (для понимания - за сутки!) подтвердил ошибки и выпустил обновления ПО с их исправлением.

TrueConf - полностью отечественная разработка, поддерживает Full HD конференции, умеет их записывать и транслировать, причем на различных доступных пользователям платформах, в том числе с процессорами Эльбрус.

Применяется, как правило, для создания защищенного ВКС-контура в закрытых сетях на объектах ВПК, госсекторе и других сферах, где важна безопасность и не допускается применение зарубежных аппаратных и программных средств.

Согласно отчёту исследователей, TrueConf Server содержал уязвимости, которые могли позволить злоумышленникам без авторизации получить полный доступ к серверу и далее развить атаку внутри организаций, использующих уязвимую версию решения.

Пользователям рекомендуется немедленно обновить ПО до версии 4.7.3.10181 или 5.0.2.10353, при отсутствии такой возможности - использовать компенсирующие меры (ограничить доступ к серверу). В идеале - проверить возможность эксплуатации выявленных баг, сохранив архивную версию директории сервера.

А вообще российские пользователи могут быть спокойны: совместная работа ведущих разработчиков в сферах ВКС и ИБ позволила обеспечить надежную защиту их коммуникации, лишив западные таблоиды очередной возможности позлорадствовать и похрипеть в адрес российского инфосек.

45% компаний подверглись атакам на цепочки поставок в 2021 году

Злоумышленники стали чаще атаковать экосистемы через входящие в них компании. Атаки нередко совершаются через уязвимости в открытом коде — их количество выросло на 650%. Участники экосистем часто не способны оценить риски и обеспечить безопасность.

Недавно сайты российских СМИ подверглись атаке. На страницах изданий появились заголовки, которые эти СМИ не размещали. Похожая ситуация возникла на сайтах государственных организаций: атакующие использовали сервисы внешнего поставщика. Причинами таких атак становятся компрометация аккаунтов разработчиков и нахождение уязвимостей в программных продуктах.

На #PHDays11 директор по инновациям ГК Astra Linux Роман Мылицын отметил: «Проблема надежности цепочки поставок — общемировая. Сейчас у Google и Microsoft есть открытая инициатива по оценке, ранжированию и проверке ключевых проектов на GitHub. Перед всем миром встает вопрос вычленения ключевых компонентов, от которых зависит ряд технологий»