Действия для устранения уязвимости CVE-2024-23836 в системе обнаружения вторжений
При использовании метода обнаружения вторжений по правилам на узлах с установленными компонентами программы работает система обнаружения вторжений, которая подвержена уязвимости CVE-2024-23836. В соответствии с рекомендациями поставщика системы обнаружения вторжений, для оперативного устранения указанной уязвимости в Kaspersky Industrial CyberSecurity for Networks вам нужно выключить модули обработки протоколов SMTP и HTTP для правил обнаружения вторжений. Процедуру выключения модулей нужно выполнить на всех узлах с установленными компонентами программы (Сервер и сенсоры).
Чтобы выключить модули обработки протоколов SMTP и HTTP на узле:
- Откройте консоль операционной системы.
- Откройте файл конфигурации процесса Filter. Для этого введите команду:
sudo mcedit /var/opt/kaspersky/kics4net/config/Filter.json - Перейдите к разделу параметров "additionalSuricataArguments".
- Добавьте завершающий символ
,(запятая) в конце строки последнего параметра раздела и ниже добавьте следующие строки:"--set","app-layer.protocols.smtp.enabled=no","--set","app-layer.protocols.http.enabled=no"Пример содержимого раздела:
"additionalSuricataArguments" :["--set","runmode=autofp","--set","autofp-scheduler=hash","--set","vars.address-groups.SCAN_HOSTS=0.0.0.0","--set","vars.address-groups.BRUTE_HOSTS=0.0.0.0","--set","app-layer.protocols.smtp.enabled=no","--set","app-layer.protocols.http.enabled=no"] - Сохраните и закройте файл конфигурации.
- Перезапустите сервис программы. Для этого введите команду:
sudo systemctl restart kics4net.service
