При проведении работ по выявлению и анализу уязвимостей программного обеспечения и ведению банка данных угроз безопасности информации ФСТЭК России проведены исследования и подтверждено наличие уязвимости в средствах криптографической защиты информации (СКЗИ) ViPNet Coordinator (Windows) и ViPNet Client (Windows), широко применяемых для защиты персональных данных в информационных системах персональных данных.
Уязвимостям присвоен средний уровень опасности уровень опасности (базовая оценка CVSS 2.0 составляет 6,6) и высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6), а их описания включены в Банк данных угроз безопасности информации, размещенный на сайте www.bdu.fstec.ru (идентификаторы уязвимостей BDU:2018-00460 и BDU:2018-00461).
Уязвимости СКЗИ ViPNet Coordinator (BDU:2018-00461) и СКЗИ ViPNet Client (BDU:2018-00460) связаны с уязвимостью механизма загрузки DLL-файлов средства криптографической защиты ViPNet Client связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с привилегиями администратора при помощи специально сформированного DLL-файла, помещенного в каталог установки ViPNet Client и ViPNet Coordinator.
В целях нейтрализации уязвимостей ( BDU:2018-00460 и BDU:2018-00461) необходимо установить ViPNet EPS Windows x32 x64 RUS 1.0.0.88, систему защиты среды функционирования, предназначенная для предотвращения подмены системных файлов ViPNet Client и ViPNet Coordinator.