Действия для устранения уязвимостей в приложении Kaspersky IoT Secure Gateway Network Protector

При использовании приложения Kaspersky IoT Secure Gateway Network Protector оно может быть подвержено уязвимостям BDU:2025-00136 (CVE-2024-55628) и BDU:2025-00137 (CVE-2024-55629). Для оперативного устранения этих уязвимостей в приложении Kaspersky IoT Secure Gateway Network Protector вам нужно выполнить действия, описанные в этом разделе ниже.

Устранение уязвимости BDU:2025-00136 (CVE-2024-55628) в приложении Kaspersky IoT Secure Gateway Network Protector

Для устранения рисков, связанных с уязвимостью BDU:2025-00136 (CVE-2024-55628), необходимо отключить обработку DNS-пакетов приложением Kaspersky IoT Secure Gateway Network Protector.

Чтобы отключить обработку DNS-пакетов в приложении Kaspersky IoT Secure Gateway Network Protector, примените патч для устранения ошибок. Этот патч отключает обработку некоторых неподдерживаемых специфических типов сетевых пакетов, отправляемых по протоколам SIP, SMB, SMTP, DNS, HTTP или HTTP2.

Устранение уязвимости BDU:2025-00137 (CVE-2024-55629) в приложении Kaspersky IoT Secure Gateway Network Protector

Для устранения рисков, связанных с уязвимостью BDU:2025-00137 (CVE-2024-55629), необходимо добавить в приложение Kaspersky IoT Secure Gateway Network Protector предустановленное правило обнаружения TCP-пакетов, помеченных флагом Urgent, для последующей блокировки трафика, исходящего от источника этих пакетов.

Чтобы добавить в приложение Kaspersky IoT Secure Gateway Network Protector предустановленное правило для обнаружения TCP-пакетов с флагом Urgent:

1. Подготовьте USB-накопитель с любым дистрибутивом Live CD на основе Linux, поддерживающим SSHD.

   Мы рекомендуем загрузить образ дистрибутива SystemRescueCd с официального сайта SystemRescue и создать загрузочный USB-накопитель, например, используя утилиту dd:

   $ dd if=systemrescuecd-<номер версии>.iso of=/dev/<имя USB-накопителя>

2. Выключите устройство Kraftway Рубеж-Н.
3. Подключите к устройству USB-накопитель с любым дистрибутивом Live CD на основе Linux, поддерживающим SSHD.
4. Включите устройство и во время включения нажмите на клавишу DELETE, чтобы перейти в BIOS.
5. Выберите загрузку образа Live CD с USB-накопителя.
6. Создайте файл patch.sh в любой директории.
7. Откройте patch.sh в текстовом редакторе и скопируйте строки из раскрывающегося блока ниже.

   Содержимое файла patch.sh.

   #!/bin/bash

   mkdir packageManager

   mount /dev/sda21 packageManager

   mkdir container

   mount packageManager/apps/kaspersky.kisg.netprotector/res/net_protector_container.img container

   RULE_FILE_NAME="tcp_urgent.rules"

   RULE_FILE_CONTEXT='alert tcp any any -> any any (msg:"TCP packet with urgent flag"; flags:U*; threshold:type threshold, track by_src, count 1, seconds 1200; classtype:misc-activity; sid:90001001; priority:2; rev:1;)'

   echo ${RULE_FILE_CONTEXT} > container/idsit/rules/${RULE_FILE_NAME}

   AMR_FILE="container/idsit/amr.yaml"

   if ! grep -q ${RULE_FILE_NAME} ${AMR_FILE}; then

   if [ "$(tail -c 1 ${AMR_FILE})" != $'\n' ]; then

   echo >> ${AMR_FILE}

   fi

   echo " - ${RULE_FILE_NAME}" >> ${AMR_FILE}

   fi

   umount container

   umount packageManager

   rmdir container

   rmdir packageManager

8. Сохраните файл patch.sh и предоставьте ему право на запуск.
9. Запустите скрипт patch.sh:

   ./patch.sh

10. После завершения работы скрипта перезагрузите устройство с загрузкой системы Kaspersky IoT Secure Gateway 1000 (по умолчанию или через BIOS) и проверьте работу системы.
11. Запустите приложение Kaspersky IoT Secure Gateway Network Protector, если оно не запустилось автоматически.
12. Проверьте работу правила, выполнив одну из следующих команд на хосте во внутреннем сегменте сети:
    • Для типа устройства однонаправленный шлюз:

      hping3 -c 1 -p 8080 -U -S 192.168.1.1

    • Для типа устройства сетевой роутер:

      hping3 -c 1 -p 8080 -U -S <IP-адрес Kaspersky IoT Secure Gateway 1000 во внешней сети>

    Если правило настроено верно, после выполнения этой команды правило сработает и в событиях сетевого экрана появится соответствующая запись об этом.

После применения этого патча приложение Kaspersky IoT Secure Gateway Network Protector также может блокировать трафик от нужных вам хостов, если они соответствуют правилу. Для разблокировки таких хостов необходимо добавить их IP-адреса в список разрешенных.