Обзор уязвимостей за прошедшую неделю (6-12 сентября)

Службой реагирования на компьютерные инциденты KZ-CERT (Служба KZ-CERT) в рамках анализа актуальных угроз информационной безопасности в казахстанском сегменте Интернета c начала текущего года обнаружено более 1000 IP-адресов, потенциально подверженных уязвимостям разного уровня критичности.

В декабре прошлого года Национальный институт стандартов и технологий (NIST) опубликовал исследование, в котором сообщил о рекордном количестве уязвимостей в различном программном обеспечении, отметив, что уже пятый год подряд эта цифра достигает своего максимального значения.

Проблемы кибербезопасности становятся ежедневной угрозой, в том числе и для бизнеса. «Почти половина всех кибератак нацелена на малый бизнес», - утверждает в своем отчете компания Cybint Solutions.

Компаниям, которые сталкиваются с нарушениями информационной безопасности, необходимо выделять средства на исправление различных уязвимостей, расследования произошедших инцидентов, а также на повышение как осведомленности сотрудников в вопросах обеспечения кибербезопасности, так и их квалификации.

В то время как компании затрачивают средства на обеспечение безопасности, злоумышленники продолжают «оттачивать свое мастерство», подготавливая эксплойты для использования данной уязвимости. Компаниям рекомендуется уделять больше внимания на сокращение времени, затрачиваемого на исправление уязвимости, найти эффективные гибкие и адаптированные инструменты безопасности и действовать быстрее злоумышленников, пытающихся проникнуть в систему.

Специалистами Службы KZ-CERT в казахстанском сегменте сети Интернет был обнаружен ряд уязвимостей, эксплуатация которых может негативно сказаться на безопасности и репутации казахстанских компаний.

Из них наиболее критичными уязвимостями являются:
1. CVE-2022-22536 – оценка критичности по CVSS 10 из 10. Уязвимость затрагивает продукты SAP, использующие Internet Communication Manager. Успешная эксплуатация уязвимости позволяет злоумышленникам нацеливаться на пользователей SAP, бизнес-информацию и процессы, красть учетные данные, инициировать отказ в обслуживании, удаленно выполнять код и, в конечном итоге, полностью скомпрометировать любые неисправленные приложения SAP. Система SAP - это программное обеспечение, при помощи которого можно автоматизировать профессиональную деятельность представителей разных специализаций. Такие приложеня «заточены» под конкретную острасль и существенно упрощают работу в ней и связь с другими структурными единицами.
2. CVE-2022-21971 - оценка критичности по CVSS 7.8 из 10 (критичный). Уязвимость затрагивает компонент Runtime в продуктах Microsoft. Уязвимость позволяет выполнить произвольный код, а в результате эксплуатации уязвимости возможно полное раскрытие информации, в результате чего раскрываются все системные файлы, что приводит к компрометации всей системы.
3. CVE-2021-44142 - оценка критичности по CVSS 9.9 из 10 (критичный). Затрагиваемый продукт – Samba. Samba — пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS. Эксплуатация уязвимости может позволить удаленному злоумышленнику выполнить произвольный код от имени администратора. Samba может выступать в роли контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000, и способна обслуживать все поддерживаемые Microsoft версии Windows-клиентов.
4. CVE-2021-42321 – оценка критичности по CVSS 9.9 из 10 (критичный). Уязвимость позволяет аутентифицированному злоумышленнику осуществить удаленное выполнения кода на серверах Microsoft Exchange. Microsoft Exchange Server — программный продукт для обмена сообщениями и совместной работы. Основные функции Microsoft Exchange: обработка и пересылка почтовых сообщений, совместный доступ к календарям и задачам, поддержка мобильных устройств и веб-доступ, поддержка систем обмена мгновенными сообщениями. В результате эксплуатации уязвимости злоумышленник может перехватить управление системой или ее отдельными компонентами, а также похитить конфиденциальные данные пользователей.
5. CVE-2021-35395 – оценка критичности по CVSS 9.8 из 10 (критичный). По словам исследователей, эта уязвимость затрагивает около миллиона устройств с чипсетами SDK Realtek, в числе которых роутеры для путешествий, Wi-Fi-репитеры, IP-камеры для шлюзов lightning, «умные» устройства и другие. Уязвимость позволяет злоумышленникам полностью скомпрометировать устройства и получить контроль над ними. CVE-2021-35395 также затрагивает веб-интерфейс, который является частью SDK (software development kit).
6. CVE-2021-32648 – оценка критичности по CVSS 9.1 из 10 (критичный). Уязвимость CVE-2021-32648 CMS-системы «October» связана с недостатком механизма восстановления пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к произвольной учетной записи с помощью специально созданного запроса. October — система управления содержимым сайта (CMS) с открытым исходным кодом, написанная на языке PHP, на базе компонентов фреймворка для веб-приложений Laravel.
7. CVE-2019-12815 - оценка критичности по CVSS 9.8 из 10 (критичный). Уязвимость произвольного копирования файлов в mod_copy в ProFTPD до версии 1.3.5b. ProFTPd — кроссплатформенный FTP-сервер с открытым исходным кодом, поддерживающий большинство UNIX-подобных систем и Microsoft Windows. Все версии ProFTPd до 1.3.6 включительно. Баг позволяет аутентифицированному пользователю (в том числе и анонимному) копировать файлы, даже если он не имеет разрешения на запись.
8. CVE-2017-12542 - оценка критичности по CVSS 10 из 10 (критичный). Уязвимость обхода аутентификации и выполнения кода в HPE Integrated Lights-out 4 (iLO 4) версии до 2.53. Платформа HP integrated Lights Out (iLO) представляет собой комплекс интегрированных технологий, которые позволяют удаленно управлять серверами, что существенно облегчает эксплуатацию IT-инфраструктуры. Уязвимость в HP iLo можно использовать удаленно. Баг позволяет обойти аутентификацию и получить доступ к консоли HP iLO, что впоследствии позволяет извлечь пароли в формате обычного текста, выполнить вредоносный код и даже подменить прошивку iLO.

Службой KZ-CERT были проведены работы по информированию организаций и операторов связи с просьбой оказать содействие по уведомлению владельцев IP-адресов с рекомендациями для устранения уязвимостей информационной безопасности.

Важно отметить, что внедрение и соблюдение комплекса организационно-технических мероприятий по обеспечению информационной безопасности в компаниях помогает минимизировать риски возникновения различных инцидентов ИБ. Надеемся, что, информация, опубликованная в материале, поможет казахстанским пользователям оградить себя и свои компании от кибератак.

Если вы столкнулись с инцидентом информационной безопасности, просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправить заявку в Telegram-чат: https://t.me/kzcert.

АО «Государственная техническая служба»
Тел: +7-717-255-99-99 (вн.280)
e-mail: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.
Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.


Депутаты Сената Парламента РК заслушали доклад министра цифрового развития, инноваций и аэрокосмической промышленности Багдата Мусина касательно нового Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации, информационной безопасности и образования».

Закон предусматривает решения по дебюрократизации государственного аппарата, инициированные Главой государства в этом году.

Законом предусмотрены новые подходы, такие как: переход от точечной оптимизации к качественному преобразованию деятельности государственных органов, дальнейшее снижение административного бремени, внедрение государственного управления, основанного на актуальных и достоверных данных («data-driven government»), ужесточение законодательных требований к защищенности конфиденциальных данных граждан, обеспечение юридической равнозначности цифровых и бумажных документов, переход к единой платформенной модели цифровизации, дальнейшая цифровизация социально-значимых сфер государственного управления и стратегических отраслей национальной экономики.

Ожидается, что принятие нового закона позволит сократить цифровое неравенство между жителями городов и сел, исключит необходимость наличия бумажных версий документов при обращении за госуслугами, в банки, нотариусы и в иные организации, уменьшит дублирующие функции госорганов, оптимизирует бюджетные расходы на поддержку информационных систем, а также понизит издержки для людей и бизнеса при получении госуслуг и приведет к повышению эффективности управленческих решений.

Законом предусмотрены поправки, касающиеся расширения сферы применения сервиса цифровых документов, открытия цифровых точек доступа населения к государственным услугам для сельских населенных пунктов, перевод в электронный формат свидетельств в сфере государственной регистрации актов гражданского состояния (свидетельств о рождении, о заключении или расторжении брака, о смерти), оцифровка процесса отбора списка кандидатов в присяжные заседатели и другие.

«На сегодня, в государственном секторе функционируют порядка 400 информационных систем, разработанных на основе различных платформ и программных решений. Проектом закона внедряется единая архитектура «электронного правительства», которая исключит существующую разобщенность и обеспечит единый платформенный подход», - сказал Багдат Мусин.

Кроме того, законом предлагается утвердить требования по управлению данными, а также ввести соответствующий уполномоченный орган, который выстроит единые требования по работе, управлению и владению данными. Теперь, по словам Багдата Мусина, собственником данных, создаваемых, накапливаемых за счет бюджетных средств будет являться государство.

При этом, в целях усиления защиты персональных данных граждан, расширяется перечень критически важных объектов информационно-коммуникационной инфраструктуры, что позволит повысить требования к информационным системам, осуществляющих сбор, обработку и хранение персональных данных.

В ходе доклада Багдат Мусин также озвучил предложение по закреплению равнозначности электронных документов их бумажным аналогам.

«Все больше граждан предпочитает получать государственные услуги посредством мобильных сервисов. С прошлого года запущен сервис цифровых документов, который позволяет гражданину сгенерировать электронную версию бумажного документа в мобильном приложении «еGov mobile». Предлагаемые поправки обеспечат гражданам право полноценного и равнозначного использования цифровых версий документов», - сообщил глава цифрового ведомства.

Кроме того, запрос документов по сведениям, которые имеются в информационных системах государственных органов будет законодательно запрещен.

В 2 тыс. сельских отделениях Казпочты появятся оборудованные «Цифровые точки», позволяющие жителям сел отправлять электронные обращения в государственные органы, а также получать государственные услуги.

На сегодня, на рынке труда в Казахстане наблюдается дефицит квалифицированных IT-кадров. Необходимо отметить, что это общемировая тенденция. При этом спрос на квалифицированных программистов по всему миру, в том числе и в Казахстане, с каждым днем будет только возрастать. В этой связи, законом предусматривается организация подготовки квалифицированных кадров в области информационно-коммуникационных технологий.

МЦРИАП РК также предлагает пересмотреть порядок проведения аукционов на предоставление права недропользования по углеводородному сырью в электронном виде, обязательность оснащения баз нефтепродуктов контрольными приборами учета. Также предусматривается передача функций государственной регистрации актов гражданского состояния из местных исполнительных органов в НАО «Государственную корпорацию «Правительство для граждан».

https://www.gov.kz/memleket/entities/mdai/press/news/details/394191?lang=ru


Министр цифрового развития, инноваций и аэрокосмической промышленной РК Багдат Мусин выступил с докладом на очередном заседании Правительства.

Багдат Мусин рассказал о деятельности министерства и поделился основными достижениями в сфере цифровизации государственных услуг.

«Я хотел бы обратить внимание на то, что успех цифровой трансформации страны на прямую зависит от уровня вовлеченности всех центральных государственных и местных исполнительных органов. Все мы должны понимать, что именно цифровые решения в конечном итоге приносят осязаемые результаты как для общества, так и для госаппарата, особенно в части улучшения его эффективности», - отметил министр

При этом глава цифрового ведомства сообщил, что наблюдается рост использования услуг в мобильном приложении, за 5 месяцев 2022 года цифровые документы валидированы более 6 млн раз. Всего казахстанцам в цифровом формате доступны 18 документов, которые можно использовать не только через EGov, но и через приложения банков второго уровня.

В ходе заседания министр также рассказал о реализации нового проекта, по документированию граждан, где процесс будет выстроен без участия человеческого фактора, с помощью специальных терминалов. Если сегодня в среднем на это затрачивается 20-30 минут, то при установке терминалов процесс сократится до 5-10 минут.

Всего до конца года на внешние платформы будут выведены 20 самых популярных госуслуг.

Что касается цифровизации социальной сферы, то в 17 регионах страны внедряется пилотный проект по заочному освидетельствованию 3-й группы инвалидности. К примеру, ранее для установления инвалидности или степени утраты трудоспособности требовалось обратиться в поликлинику по месту жительства, и после гражданин направлялся на освидетельствование в отделы медико-социальной экспертизы. Сегодня для установления инвалидности достаточно обратиться только в медицинское учреждение.

Из 23 государственных услуг Минтруда, 11 ориентированы на лиц с ограниченными возможностями. Основной целью перевода таких услуг в проактивный формат является упрощение процедуры оформления документов для лиц с ограниченными возможностями, исключение их хождения по разным инстанциям и исключение бумажной волокиты.

Пособия многодетным матерям переведены также в проактивный формат: нет необходимости самостоятельно собирать документы для подачи на пособие, все процессы автоматизированы.

В целом, по словам министра, цифровизация затрагивает все сферы, включая санэпиднадзор, сельское хозяйство и даже строительство. Однако во многих из них предстоит еще осуществить большой пласт работы.

Отдельное внимание уделено развитию IT-сферы. Казахстан очень уверенно движется в этом направлении. Так, сегодня в «Astana Hub» насчитывается уже более 750 резидентов, привлечено более 70 млрд тенге инвестиций в стартап-проекты, открыты 5 региональных технопарков.

«Важная часть развития IT-экосистемы – это человеческий капитал. Главой государства поставлена задача к 2025 году подготовить не менее 100 тыс. квалифицированных IT-специалистов. В прошлом году запущены 7 частных инновационных школ программирования в регионах страны. В этом году будут открыты 5 таких школ. В качестве альтернативного образования в прошлом году предоставлены 100 ваучеров 13 IT-школам. В этом году будет представлены 3 тысячи ваучеров», - сказал Багдат Мусин.

https://www.gov.kz/memleket/entities/mdai/press/news/details/393928?lang=ru


28 июня сотрудники Министерства сельского хозяйства, международного технопарка ІТ-стартапов Astana Hub и представители посольства Израиля встретились с целью обсуждения возможности обмена знаниями и сотрудничества между двумя странами по вопросам продовольственной безопасности, развития кооперативов и устойчивого агробизнеса в целом, а также решений AgriTech для крупных производителей и инноваций в области хранения сельскохозяйственной продукции.

Делегация представителей посольства Израиля по главе с послом Израиля в Республике Казахстан Ябо Глузман Эдвин Натан ознакомилась с деятельностью международного технопарка ІТ-стартапов Astana Hub, во время экскурсии по территории Astana Hub гостям также рассказали о возможностях и достижениях школы программирования Alem.

Отдельного внимания удостоилось обсуждение развития сельского хозяйства и роли технологий в данном направлении. В ходе встречи вице-министр сельского хозяйства Республики Казахстан Баглан Бекбауов подчеркнул важность внедрения инноваций в эффективной работе в сфере развития сельского хозяйства.

“Как и в земледелии, в развитии инноваций важно соблюдать определенные шаги: нужно подготовить землю, затем посадить семя. На данный момент молодые люди из разных стран, развивающие агротехнологии и точное сельское хозяйство, привносят инновации и инвесторов и предотвращают негативные демографические тенденции и утечку мозгов в регионе. Такие организации, как Astana Hub помогают молодым людям внедрять эти инновации и привлекать инвестиции”, - отметила директор по международной торговле и развитию бизнеса Ассоциации кибуцной промышленности Израиля Михаль Цоран.

Участники встречи обсудили ключевые факторы развития сельского хозяйства и выразили намерение укрепить сотрудничество между двумя странами в данном направлении.

https://astanahub.com/article/posolstvo-izrailia-takie-organizatsii-kak-astana-hub-pomogaiut-molodym-liudiam-vnedriat-innovatsii


Министр цифрового развития, инноваций и аэрокосмической промышленности Багдат Мусин посетил с рабочим визитом Павлодарскую область. В рамках поездки глава ведомства провел прием граждан в павлодарском Специализированном Центре обслуживания населения, встретился с общественностью и IT-специалистами региона.

Во время приема граждан в СпецЦОНе жители Павлодара смогли лично поговорить с министром о качестве оказываемых ЦОНами услуг. В целом павлодарцы остаются довольны работой ЦОНов, кроме того, они отмечают, что с переходом в онлайн-пространство оперативность и удобство получения госуслуг значительно повысилась. Вместе с тем, по их мнению, некоторые вопросы все еще забюрократизированы и требуют внимания со стороны министерства. Отвечая на вопросы министр пообещал, что в скором времени в Экибастузе откроется свой СпецЦОН и жителям города и района не нужно будет ездить в областной центр для оформления транспортных средств.

В ходе встречи с населением в Торайгыров университете, Багдат Мусин рассказал о проектах и успехах проводимой ведомством работы в части оказания госуслуг, обеспечения области доступным интернетом и связью, космическом мониторинге.

Глава министерства напомнил, что сегодня казахстанцам в онлайн-формате доступны 18 основных документов, среди которых – удостоверение личности, водительские права, свидетельства о браке и рождении и другие. При этом Багдат Мусин подчеркнул, что нацелен на то, чтобы государственные услуги оказывались в проактивном порядке, а в ближайшем будущем и вовсе отказаться от человеческого фактора.

«Мы ставим себе цель исключить человеческий фактор из процесса предоставления госуслуг. В планах реализация таких проектов, как «терминал документирования» для получения удостоверения личности и его перевыпуска. В настоящее время данный проект пилотно устанавливается в ряде ЦОНов города Нур-Султан. Это решение позволяет населению заказать удостоверение личности за 5-10 минут без обращения к сотруднику миграционной службы», - рассказал Багдат Мусин.

Кроме того, глава цифрового ведомства сообщил, что сегодня 98% населения Павлодарской области, а это 758 тыс.человек обеспечены услугами Интернета и связи. Остальные 2% будут подключены в ближайшее время.

Еще один немаловажный вопрос - спутниковая оценка состояния пастбищных угодий, благодаря которой в области выявлен самовольный захват 1,8 млн.га пастбищных угодий.

Кроме того, посредством космомониторинга лесных ресурсов выявлено 731 полигонов вырубок, оцифрованы 144 постройки на территории государственного лесного фонда Павлодарской области. Данные переданы в Министерство экологии, геологии и природных ресурсов РК для дальнейшей проверки законности построек. Общая площадь оцифрованных лесных массивов составило 225,9 тыс. га.

Затронул Багдат Мусин и тему развития системы «Умный город». По его сведениям, Павлодар занимает 13 место в рейтинге Smart city, поэтому здесь есть сферы, над которыми нужно работать.

«В городе Павлодар на 100 человек установлено 2 видеокамеры, что в 7 раз меньше аналогичных мировых показателей. К примеру, в США установлено 15 камер на 100 человек. Также, в Павлодаре до сих пор не автоматизирована выдача услуг организаций жилищно-коммунального сектора по сравнению с другими регионами. Работа по цифровизации услуг СЕМ проводится на базе региональных геоинформационных порталов», - отметил министр.

В ходе поездки глава цифрового ведомства также ознакомился с работой регионального IT-Hub «Jylygai – Teplitsa» и встретился с IT-сообществом Павлодарской области. Во время встречи Багдат Мусин рассказал о том, что МЦРИАП РК намерен подготовить 100 тысяч IT-специалистов до 2025 года. Для этого школам программирования предоставляются гранты, в конце прошлого года было выдано 100 грантов 13 IT-школам, грант составляет 600 тыс.тг. В этом году будет выдано еще 3 000 грантов.

При этом, IT-школа, открытая в 2021 года на базе Торайгыров университета, уже готовит специалистов по 7 курсам. На текущий момент выдано 108 сертификатов, из них 63 по курсам в сфере IT. Учитывая положительную динамику по подготовке квалифицированных IT-специалистов считаем целесообразным развитие экосистемы и создания в Павлодарской области IT-хаба.

В завершение рабочей поездки Багдат Мусин встретился с акимом Павлодарской области Абылкаиром Скаковым, где обсудил актуальные вопросы по развитию региона в сфере цифровизации.

https://www.gov.kz/memleket/entities/mdai/press/news/details/392957?lang=ru