Исследователи обнаружили уязвимости в некоторых DLP-системах

Исследователи обнаружили несколько уязвимостей в коммерческой продукции по предотвращению утечек информации (Data Leak Prevention, DLP) с открытым исходным кодом.

Старший научный сотрудник по безопасности компании Duo Security Зак Ланье (Zach Lanier) и инженер по безопасности с Tumblr Келли Лам (Kelly Lum) на следующей неделе в ходе конференции Black Hat в Лас-Вегасе, США, будут демонстрировать межсайтовый скриптинг (XSS) и уязвимость, позволяющую осуществить межсайтовую подделку запроса (CSRF). Это вредоносные ПО, которые они обнаружили в четырех коммерческих продуктах и одном инструменте с открытым исходным кодом. Исследователи планируют предоставить названия компаний на следующей неделе во время конференции, где они также продемонстрируют примеры атак.

Ланье и Лам говорят, что не были удивлены, обнаружив недостатки в DLP-системах, которые должны хранить частную и конфиденциальную информацию предприятий от утечки.

Многие бреши были найдены в web-интерфейсах продуктов, а именно, административных панелях. XSS и CSRF были самыми распространенными из найденных там уязвимостей, говорят они. Хотя Ланье и Лам не нашли каких-либо конкретных ошибок в DLP-системах, они нашли бреши, которые позволяют злоумышленнику перенастроить или изменить работу DLP-систем так, чтобы они больше не мониторили утечку данных.

Между тем, Ланье и Лам говорят, что DLP-системы не проверяются на безопасность должным образом, а в их программном обеспечении полно недостатков.