Услуги
Истории успеха
Центр загрузок
О компании
Компания «ИнфоТеКС» разработала облачное решение для идентификации и обслуживания пассажиров АО «ФПК» ViPNet для защиты канала связи Тульского оружейного завода Компания «Мед-Рей» использовала технологию ViPNet для создания VPN-сети ИнфоТеКС создал систему защиты для объектов XXIX Всемирной зимней Универсиады 2019 «Кубаньэнерго» под защитой СЗИ ИнфоТеКС Подключение Республики Тыва к системе ГосСОПКА Криптографическая защита информации для Независимой энергосбытовой компании Краснодарского края Организация защищенных каналов передачи информации для ГКУ «Дирекция автодорог Кузбасса» ViPNet защитил сеть передачи данных здравоохранения Саратовской области Организация защищенного канала передачи информации от комплексов фотовидеофиксации на серверное оборудование Центра организации дорожного движения Новосибирской области
Главная
 ...  
Пресс-центр
 ...  
Публикации
 ...  
Разъяснения компании «ИнфоТеКС» к публикациям об угрозах безопасности информационных систем в свете выявленных уязвимостей в ViPNet Client 4

Разъяснения компании «ИнфоТеКС» к публикациям об угрозах безопасности информационных систем в свете выявленных уязвимостей в ViPNet Client 4

В отношении статьи РИА Новости и ряда публикаций других СМИ об уязвимостях программного комплекса ViPNet Client 4, опубликованных в Базе данных угроз безопасности информации ФСТЭК России (BDU:2022-03008 и BDU:2022-03009), а также публикации НКЦКИ о недостатках в безопасности № ALRT-20220517.1, компания «ИнфоТеКС» повторно сообщает, что указанные в публикациях уязвимости были устранены специалистами компании «ИнфоТеКС» в ViPNet Client 4 версии 4.5.3, которая была сертифицирована ФСБ России и доступна заказчикам компании с марта 2022 года.

Особое внимание хотим обратить на тот факт, что эксплуатация выявленных уязвимостей была возможна только при грубом нарушении организационных мер, предусмотренных эксплуатационной документацией на программный комплекс, и только в том случае, если нарушитель имел права администратора рабочей станции, являющейся узлом управления защищенной сети ViPNet, что само по себе уже является компрометацией информационной системы. Ни внешний нарушитель (хакер), имеющий удаленный и/или физический доступ к узлам защищенной сети, кроме узла администратора безопасности, ни внутренний нарушитель (инсайдер), имеющий доступ к тем же узлам защищенной сети, использовать выявленные уязвимости не могли.

«В ходе доклада руководителя отдела расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар» на конференции PHDays было явно озвучено, что расследование проблемы на стороне управляющего компонента сети ViPNet не проводилось, в связи с чем выяснить источник заражения и точку распространения зараженного пакета обновлений не представляется возможным, — прокомментировал Александр Василенков, менеджер продуктов компании «ИнфоТеКС», — кроме того, упомянутые в ходе доклада риски эксплуатации уязвимости в смежных сетях, связанных механизмом межсетевого взаимодействия, полностью отсутствуют, так как механизм межсетевого управления не имеет технической возможности отправки обновлений в смежные сети».

Принимая во внимание эту информацию, считаем, что степень важности и масштаб выявленных угроз явно завышены. ИнфоТеКС приветствует усилия профессионального сообщества по поиску уязвимостей и всегда оперативно реагирует и исправляет недостатки, выявленные в продуктах компании, в рамках действующей Политики ответственного разглашения. Но не менее важно, чтобы публикуемая в открытых источниках информация об уязвимостях была актуальной, своевременной и не создавала ложных оценок степени выявленных угроз.

Тем не менее, всем пользователям наших продуктов, кто еще не произвел обновление ПК ViPNet Client, мы настоятельно рекомендуем выполнить обновление до версии 4.5.3.65117 или выше, а также напоминаем о необходимости надлежащего выполнения требований эксплуатационной документации, входящей в комплект поставки программного комплекса, а также средств управления им (ViPNet Administrator, ViPNet Policy Manager).

Обновление ViPNet Client 4 доступно для скачивания

Заказать обратный звонок
Наш менеджер свяжется с вами в течение рабочего дня
Нажимая на кнопку «Отправить, я даю своё согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определённых Политикой АО «ИнфоТеКС» в отношении обработки персональных данных.