Разъяснения компании «ИнфоТеКС» к публикациям об угрозах безопасности информационных систем в свете выявленных уязвимостей в ViPNet Client 4
В отношении статьи РИА Новости и ряда публикаций других СМИ об уязвимостях программного комплекса ViPNet Client 4, опубликованных в Базе данных угроз безопасности информации ФСТЭК России (BDU:2022-03008 и BDU:2022-03009), а также публикации НКЦКИ о недостатках в безопасности № ALRT-20220517.1, компания «ИнфоТеКС» повторно сообщает, что указанные в публикациях уязвимости были устранены специалистами компании «ИнфоТеКС» в ViPNet Client 4 версии 4.5.3, которая была сертифицирована ФСБ России и доступна заказчикам компании с марта 2022 года.
Особое внимание хотим обратить на тот факт, что эксплуатация выявленных уязвимостей была возможна только при грубом нарушении организационных мер, предусмотренных эксплуатационной документацией на программный комплекс, и только в том случае, если нарушитель имел права администратора рабочей станции, являющейся узлом управления защищенной сети ViPNet, что само по себе уже является компрометацией информационной системы. Ни внешний нарушитель (хакер), имеющий удаленный и/или физический доступ к узлам защищенной сети, кроме узла администратора безопасности, ни внутренний нарушитель (инсайдер), имеющий доступ к тем же узлам защищенной сети, использовать выявленные уязвимости не могли.
«В ходе доклада руководителя отдела расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар» на конференции PHDays было явно озвучено, что расследование проблемы на стороне управляющего компонента сети ViPNet не проводилось, в связи с чем выяснить источник заражения и точку распространения зараженного пакета обновлений не представляется возможным, — прокомментировал Александр Василенков, менеджер продуктов компании «ИнфоТеКС», — кроме того, упомянутые в ходе доклада риски эксплуатации уязвимости в смежных сетях, связанных механизмом межсетевого взаимодействия, полностью отсутствуют, так как механизм межсетевого управления не имеет технической возможности отправки обновлений в смежные сети».
Принимая во внимание эту информацию, считаем, что степень важности и масштаб выявленных угроз явно завышены. ИнфоТеКС приветствует усилия профессионального сообщества по поиску уязвимостей и всегда оперативно реагирует и исправляет недостатки, выявленные в продуктах компании, в рамках действующей Политики ответственного разглашения. Но не менее важно, чтобы публикуемая в открытых источниках информация об уязвимостях была актуальной, своевременной и не создавала ложных оценок степени выявленных угроз.
Тем не менее, всем пользователям наших продуктов, кто еще не произвел обновление ПК ViPNet Client, мы настоятельно рекомендуем выполнить обновление до версии 4.5.3.65117 или выше, а также напоминаем о необходимости надлежащего выполнения требований эксплуатационной документации, входящей в комплект поставки программного комплекса, а также средств управления им (ViPNet Administrator, ViPNet Policy Manager).