ФСТЭК отобрала сертификат у популярного «железа» для корпоративной безопасности

Безопасность Стратегия безопасности Госрегулирование Бизнес Законодательство ИТ в госсекторе
мобильная версия
, Текст: Валерия Шмырова

ФСТЭК аннулировала сертификаты ОС для межсетевых экранов PAN-OS 4.0, созданной калифорнийской компанией Palo Alto Networks. Причина — наличие в версиях ОС для некоторых серий межсетевых экранов незакрытых уязвимостей.


Решение ФСТЭК

Федеральная служба по техническому и экспортному контролю (ФСТЭК) аннулировала сертификаты соответствия на ОС для межсетевых экранов PAN-OS 4.0, поскольку в системе наличествуют не устраненные разработчиком уязвимости. Об этом ФСТЭК сообщает на своем сайте. Разработчиком системы является американская компания Palo Alto Networks.

Аннуляции подверглись сертификаты на PAN-OS 4.0 для межсетевых экранов серий РА-4000, РА-5000, РА-500 и РА-2000. Все они были выданы в течение апреля 2014 г. по заявке АО «РНТ». ФСТЭК отмечает, что указанные межсетевые экраны используются для защиты секретных данных в государственных и корпоративных информационных системах.

Уязвимости были занесены в базу Банка данных угроз безопасности информации ФСТЭК России, им присвоен критический уровень опасности. С банком можно ознакомиться на сайте www.bdu.fstec.ru, найденные уязвимости фигурируют там под номерами BDU:2017-02120 и BDU:2017-02237. Технически уязвимости уже исправлены разработчиком, но новые версии ОС нуждаются в новой сертификации.

В своих действиях ФСТЭК ссылается на пункт 10 Положения о сертификации средств защиты информации, которое было утверждено правительством в июне 1995 г. Также ведомство упоминает изменения в регулировках по защите информации и невозможность немедленно привести PAN-OS 4.0 в соответствие с этими регулировками.

ОС Palo Alto Networks лишилась сертификатов ФСТЭК

Помимо этого, ведомство настоятельно рекомендует не применять больше указанные межсетевые экраны для защиты засекреченной информации, а использовать вместо них какой-нибудь другой продукт, соответствующий Требованиям к межсетевым экранам, утвержденным ФСТЭК в феврале 2016 г.

Чем занимается Palo Alto Networks

Palo Alto Networks — это американская компания, которая специализируется на сетевой и корпоративной безопасности. Была основана в 2005 г. программистом израильского происхождения Ниром Цуком (Nir Zuk), бывшим сотрудником Check Point и NetScreen Technologies. Palo Alto Networks базируется в Санта-Кларе, штат Калифорния, США. Выручка компании по итогам 2017 г. составила $1,8 млрд.

Palo Alto Networks стала основным разработчиком первого брандмауэра с проверкой состояния и первой системы предотвращения вторжений. По словам Цука, он основал компанию, чтобы создать решение по прицельному контролю безопасности приложений, с которыми работает пользователь. Первый межсетевой экран был выпущен компанией в 2007 г., а в 2012 г. Palo Alto Networks стала публичной.

Похожие случаи

Уязвимости в PAN-OS 4.0, заинтересовавшие ФСТЭК — не единственные в продукции Palo Alto Networks. Ранее CNews писал, что компания устранила несколько других уязвимостей в той же PAN-OS. Объединенные под общим индексом CVE-2017-15944, эти уязвимости допускали удаленный запуск произвольного кода и инъекции команд. Никакой авторизации для использования этих уязвимостей не требовалось.

Уязвимости затрагивали версии PAN-OS 6.1.18, 7.0.18, 7.1.13, 8.0.5 и более ранние. В версиях 6.1.19, 7.0.19, 7.1.14 и 8.0.6 «баги» устранены.

Перечисленные уязвимости были выявлены еще в июле 2017 г. экспертом по имени Филип Петтерссон (Philip Pettersson). В опубликованном им бюллетене он указал на три уязвимости — возможность частичного обхода процедур авторизации, возможность создания произвольных директорий и инъекции команд — которые все вместе позволяли потенциальному злоумышленнику производить удаленный запуск произвольного кода через уязвимый веб-интерфейс с суперпользовательскими (root) полномочиями.