| Разработчики: | Open Information Security Foundation (OISF) |
| Дата премьеры системы: | 2010 |
| Технологии: | ИБ - Межсетевые экраны |
Основная статья: Межсетевой экран (Firewall)
Suricata - свободный программный инструментарий IDS/IPS, выпущенный в 2010 году некоммерческой группой Open Information Security Foundation (OISF).
2024: Обнаружение трех уязвимостей
В Open source IPS-модуле Suricata обнаружены 3 критические уязвимости (CVE-2а024-23839, CVE-2024-23836, CVE-2024-23837 по международной классификации). Только за 2023 год в результате «пробелов» в защите в открытый доступ попало более 300 миллионов конфиденциальных документов. Об этом разработчик Suricata сообщил 22 февраля 2024 года.
Большинство отечественных средств защиты информации использует Suricata в качестве одного из модулей. Она применяется в решениях Diamond FW, Континент, Ideco, ИКС-сервер, TING, очень распространенных МЭ в России. Насчитывается более десятка тысяч установок по стране. Обнаруженные уязвимости имеют очень серьезную оценку, и их суть даже не раскрывается в официальных источниках (как всегда происходит первое время, чтобы снизить скорость появления средств эксплуатации уязвимостей злоумышленниками).
По данным исследователей из компании Ideco, эксплуатация уязвимостей может происходить с помощью специально сформированной злоумышленниками веб-страницы, во время обработки которой в системе будет выполнен произвольный код (с правами модуля IPS в системе). Особенно опасно то, что уязвимы именно пограничные межсетевые экраны — таким образом злоумышленники могут получить бэкдор в локальную сеть и уже ничто не способно будет их остановить. Стоит отметить, что бэкдор используется хакерами в 21% кибепреступлений. Еще более опасно то, что часто для лучшей фильтрации трафика эти же устройства осуществляют расшифровку HTTPS-трафика, потенциально позволяя таким образом хакерам возможность получения доступа к конфиденциальной информации (включая логины и пароли) и возможность подменять трафик (например, данные о получателе денежных переводов).
Еще тяжелее приходится разработчикам, не использующим «чистый» Open source-модуль (в обновленной версии Suricata есть исправления данных уязвимостей), а развивающих собственный форк (собственные разработки на основе взятого в прошлом кода модуля) — в таком случае исправление ошибок может занять гораздо больше времени, при этом эксплуатация уязвимости может быть возможна, хотя и иногда с неочевидным вектором атаки. Проблема может возникнуть у тех, кто использует не обновленные коммерческие продукты. Согласно статистике, более 75% компаний не обновляют ПО вовремя, что влечет серьезные инциденты, связанные со взломом.
По состоянию на 22 февраля 2024 года ни один из отечественных вендоров, кроме Ideco, не выпустил «заплатки», указали в компании. Готовых эксплойтов у злоумышленников нет. Возможно, в будущем появятся настройки, способные сократить вектор атак.
В последней версии Suricata обнаруженные уязвимости устранены. Однако, чтобы максимально защитить конфиденциальную информацию компании, стоит проверить наличие последних версий всех систем безопасности.
| Название решения | Разработчик | Количество проектов | Технологии |
|---|---|---|---|
| Emerging Threats Pro Suricata | Emerging Threats Pro | 0 | ИБ - Антивирусы, ИБ - Межсетевые экраны |
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144) ESET (ИСЕТ Софтвеа) (65) Инфосистемы Джет (61) ДиалогНаука (56) Лаборатория Касперского (Kaspersky) (39) Другие (1155) Смарт-Софт (Smart-Soft) (5) Card Security (Кард Сек) (4) R-Vision (Р-Вижн) (4) Softline (Софтлайн) (4) Национальный аттестационный центр (НАЦ) (4) Другие (73) Солар (ранее Ростелеком-Солар) (8) А-Реал Консалтинг (6) Softline (Софтлайн) (3) Аксофт (Axoft) (2) Deiteriy (Дейтерий) (2) Другие (56)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 168) ESET (ИСЕТ Софтвеа) (11, 79) Positive Technologies (Позитив Текнолоджиз) (13, 62) Смарт-Софт (Smart-Soft) (5, 47) Доктор Веб (Dr.Web) (7, 45) Другие (699, 480) Смарт-Софт (Smart-Soft) (1, 5) R-Vision (Р-Вижн) (1, 4) Ngenix (Современные сетевые технологии, ССТ) (2, 3) Positive Technologies (Позитив Текнолоджиз) (2, 3) Trend Micro (2, 3) Другие (13, 12) Солар (ранее Ростелеком-Солар) (3, 7) А-Реал Консалтинг (3, 6) Positive Technologies (Позитив Текнолоджиз) (3, 4) Лаборатория Касперского (Kaspersky) (2, 4) BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1) Другие (12, 12) UserGate, Юзергейт (ранее Entensys) (3, 8) Лаборатория Касперского (Kaspersky) (1, 3) Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3) А-Реал Консалтинг (1, 2) Check Point Software Technologies (1, 1) Другие (6, 6)Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Kaspersky Endpoint Security - 81 (81, 0) ESET NOD32 Business Edition - 51 (51, 0) Dr.Web антивирус - 48 (12, 36) Kaspersky Enterprise Space Security - 34 (34, 0) MaxPatrol SIEM - 33 (31, 2) Другие 542 Смарт-софт: Traffic Inspector Next Generation - 5 (5, 0) R-Vision SGRC Центр контроля информационной безопасности - 4 (4, 0) FortiOS - 2 (0, 2) StormWall: Многоуровневая распределенная система фильтрации - 2 (2, 0) Ngenix Облачная платформа - 2 (2, 0) Другие 12 А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0) Solar MSS - 3 (3, 0) Kaspersky Endpoint Security - 3 (3, 0) Solar JSOC - 3 (3, 0) MaxPatrol SIEM - 2 (2, 0) Другие 19 UserGate UTM - 4 (4, 0) UserGate C-серия Межсетевые экраны - 3 (3, 0) Kaspersky Endpoint Security - 3 (3, 0) Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3 (3, 0) А-Реал Консалтинг: Межсетевой экран ИКС - 2 (2, 0) Другие 7 
