Уязвительное замечание насчет софта
Промышленные объекты России используют небезопасное индийское ПО
В России для кибератак уязвимы около 165 критически значимых информационных систем под управлением программного обеспечения (ПО) ServiceDesk Plus индийской Zoho, обнаружила американская Palo Alto Networks. Уязвимость позволяет потенциальным злоумышленникам получить доступ к конфиденциальной информации компаний. Для защиты от подобных атак вендор выпустил обновление, но клиенты не спешат его устанавливать, утверждают аналитики, поскольку опасаются рисков сбоя в работе элементов IT-инфраструктуры.
Фото: Сафрон Голиков, Коммерсантъ
“Ъ” ознакомился с исследованием американской Palo Alto Networks, посвященным атакам группировки APT27 на клиентов ПО Zoho ServiceDesk Plus. Из него следует, что в России сейчас около 165 IT-систем, работающих под управлением Zoho ServiceDesk Plus, уязвимых для кибератак. Уязвимость получила оценку 9,8 из 10 балов по шкале CVSS (открытый стандарт, который позволяет обмениваться информацией об IT-уязвимостях).
Уязвимым является ПО версий 11305 и ниже. Для их защиты 22 ноября производитель выпустил обновление, однако 2,9 тыс. систем по всему миру до сих пор уязвимы, пишут исследователи.
Используя эту возможность, за последние три месяца злоумышленники скомпрометировали как минимум 13 организаций в сфере технологий, энергетики, здравоохранения, образования, финансов и оборонной промышленности, причем девять из них — с 7 ноября, сообщается в исследовании.
За атаками стоит APT27, полагают в компании. Группировка имеет азиатские корни, работая по крайней мере с 2010 года, сообщали в Positive Technologies.
Service Desk — системы управления заявками, которые могут использоваться в любых внутренних подразделениях организации. Исходно они предназначались для автоматизации работы служб поддержки, но функционал расширился, говорит старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.
ПО Service Desk используется для автоматизации работы важных операционных подразделений на предприятии, например отделов IТ, кадров, бухгалтерии, административно-хозяйственных подразделений, юридических служб. С помощью подобных систем сотрудники обращаются к указанным подразделениям и получают от них необходимые услуги, добавил коммерческий директор ITSM 365 (ГК Naumen) Антон Федоров.
На рынке существует много аналогов индийского софта Zoho, в том числе российские Naumen, «Итилиум», «Омнидеск», «Окдеск», рассказал ведущий инженер CorpSoft24 Михаил Сергеев. Тем не менее ServiceDesk Plus часто используется на объектах критической инфраструктуры в производственном секторе, рассказал руководитель отдела IТ-решений Konica Minolta Business Solutions Russia Кирилл Чеханков.
Объекты критической информационной инфраструктуры (КИИ) — это критически значимые для страны IT-сети. К объектам КИИ относятся госорганы, банки, объекты транспорта, связи, здравоохранения, предприятия оборонной, топливной и атомной промышленности и энергетики.
По мнению Кирилла Чеханкова, уязвимость продукта очень критична, поскольку дает возможность неавторизованного доступа к пользовательским данным. В системах Service Desk зачастую содержится много важной, а порой и конфиденциальной информации, касающейся бизнеса и сделок, отметил Антон Федоров.
Злоумышленник может не только получить доступ ко всем данным, которые обрабатываются системой, но и развивать атаку на другие узлы локальной сети, добавил руководитель группы анализа угроз информационной безопасности Positive Technologies Вадим Соловьев.
Большинство компаний не держат в штате специальных сотрудников, которые следят за уязвимостями, закрывают их и поддерживают софт в актуальном состоянии, считает Михаил Сергеев, «большинство работают по факту, взломали — нужно защищаться».
Такие ситуации часто становятся следствием нехватки кадров, согласен ведущий системный инженер Varonis Александр Ветколь.
«Даже в наше время сохраняется большое число приверженцев принципа "работает — не трогай"»,— подтверждает руководитель департамента аудита информационной безопасности Infosecurity a Softline Сергей Ненахов. Поскольку иногда обновление ПО может привести к отказам в работе разных частей IТ-инфраструктуры, объясняет он, системные администраторы не спешат что-то менять.