Действия для устранения уязвимости CVE-2024-23836 в системе обнаружения вторжений

При использовании метода обнаружения вторжений по правилам на узлах с установленными компонентами программы работает система обнаружения вторжений, которая подвержена уязвимости CVE-2024-23836. В соответствии с рекомендациями поставщика системы обнаружения вторжений, для оперативного устранения указанной уязвимости в Kaspersky Industrial CyberSecurity for Networks вам нужно выключить модули обработки протоколов SMTP и HTTP для правил обнаружения вторжений. Процедуру выключения модулей нужно выполнить на всех узлах с установленными компонентами программы (Сервер и сенсоры).

Чтобы выключить модули обработки протоколов SMTP и HTTP на узле:

1. Откройте консоль операционной системы.
2. Откройте файл конфигурации процесса Filter. Для этого введите команду:

   sudo mcedit /var/opt/kaspersky/kics4net/config/Filter.json

3. Перейдите к разделу параметров "additionalSuricataArguments".
4. Добавьте завершающий символ , (запятая) в конце строки последнего параметра раздела и ниже добавьте следующие строки:

   "--set",

   "app-layer.protocols.smtp.enabled=no",

   "--set",

   "app-layer.protocols.http.enabled=no"

   Пример содержимого раздела: "additionalSuricataArguments" : [ "--set", "runmode=autofp", "--set", "autofp-scheduler=hash", "--set", "vars.address-groups.SCAN_HOSTS=0.0.0.0", "--set", "vars.address-groups.BRUTE_HOSTS=0.0.0.0", "--set", "app-layer.protocols.smtp.enabled=no", "--set", "app-layer.protocols.http.enabled=no" ]

5. Сохраните и закройте файл конфигурации.
6. Перезапустите сервис программы. Для этого введите команду:

   sudo systemctl restart kics4net.service