Дайджест Jet CSIRT [27.02-01.03.2021]

27.02.2021

В программируемых контроллерах Rockwell обнаружена критичная уязвимость

 

Исследовательская группа Claroty обнаружила серьезную уязвимость обхода аутентификации (CVE-2021-22681) в ПЛК Rockwell Automation. Проблема оценивается в максимальные 10 баллов по шкале CVSS. Эксплуатация уязвимости позволяет злоумышленнику удаленно подключаться практически к любому из программируемых логических контроллеров линейки Logix, загружать вредоносный код, скачивать информацию из ПЛК или устанавливать новую прошивку.


На продажу выставлены данные 21 миллиона пользователей VPN приложений для Android

 

Согласно новостному порталу cybernews.com, на одном из хакерских форумов на продажу выставлены данные более 21 миллиона пользователей популярных VPN-приложений для Android, таких как SuperVPN, GeckoVPN и ChatVPN. По данным Play Store, данные приложения имеют больше 100 миллионов скачиваний.

Утечке подверглись email-адреса, полные имена, случайно сгенерированные пароли, информация о платежах, серийный номер, тип и ID устройств, а также номера IMSI.


Опубликован PoC опасной уязвимости в МСЭ GenuGate

 

На сайте ИБ компании SEC Consult опубликован PoC (Proof of Concept) критической уязвимости в межсетевых экранах компании Genua GenuGate. Эксплуатация уязвимости позволяет выполнить обход аутентификации через веб-интерфейс устройства и получить доступ к хостам в защищаемой сети организации. Это позволяло злоумышленнику перенаправить трафик из сети жертвы на контролируемый прокси-сервер. Вендор оперативно выпустил патч для своих продуктов, устраняющий возможность эксплуатации уязвимости.



Увеличение штрафов за нарушение законодательства в области персональных данных

 

В Кодекс Российской Федерации об административных правонарушениях внесены изменения, предусматривающие увеличение штрафов в два раза за нарушение законодательства Российской Федерации в области персональных данных. Также вводится ответственность за повторное  совершение данных правонарушений.


Изменения в 31-й приказ ФСТЭК

 

ФСТЭК России подготовила и представила для общественного обсуждения (как и было обещано) изменения в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды, утверждённые приказом ФСТЭК России от 14.03.2014 № 31.

Изменения касаются применения сертифицированных средств защиты информации, соответствующих тому или иному уровню доверия, в зависимости от класса защищённости автоматизированных систем управления.


Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации

 

ФСТЭК России на своём сайте представила для общественного обсуждения проект методического документа «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации».


Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении

ФСТЭК России информирует об утверждении новой редакции Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении.


Новая методика оценки угроз безопасности информации

ФСТЭК России информирует об утверждении новой редакции Методики оценки угроз безопасности информации.

Как следствие, более не применяются для оценки угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).