При проведении работ по выявлению и анализу уязвимостей программного
обеспечения и ведению банка данных угроз безопасности информации
ФСТЭК России проведены исследования и подтверждено наличие уязвимости
в средствах криптографической защиты информации (СКЗИ) ViPNet Coordinator (Windows) и ViPNet Client (Windows), широко применяемых
для защиты персональных данных в информационных системах персональных данных.
Уязвимостям присвоен средний уровень опасности, а их описания включены в Банк данных угроз безопасности информации, размещенный на сайте www.bdu.fstec.ru (идентификаторы уязвимостей BDU:2017-01421 и BDU:2017-01422).
Уязвимости СКЗИ ViPNet Coordinator (BDU:2017-01421) и СКЗИ ViPNet
Client (BDU:2017-01422) связаны с недостаточной проверкой прав доступа к папке с обновлениями и недостаточной проверкой целостности и подлинности файлов обновлений. Эксплуатация уязвимостей позволяет нарушителю, действующему локально, создать поддельный файл обновления, содержащий произвольный код, разместить его в папке обновлений, а затем выполнить с системными привилегиями или привилегиями администратора.
Уязвимости выявлены в следующих версиях СКЗИ:
- ViPNet Coordinator 3.х/4.х до 4.3 (2.37373) включительно;
- ViPNet Client 3.х/4.х до 4.3 (2.37373) включительно.
В целях нейтрализации уязвимостей (BDU:2017-01421, BDU:2017-01422) необходимо в обязательном порядке получить и применить обновления СКЗИ до версий ViPNet Coordinator 4.3.2 (46794) и ViPNet Client 4.3.2 (46794).
Пользователям предыдущих версий ViPNet Coordinator и ViPNet Client рекомендуется создать замкнутую программную среду при помощи ПО ViPNet SysLocker.