Спецпроекты

Positive Technologies помогла устранить уязвимость в ПО для мониторинга, визуализации и контроля состояния ИТ-инфраструктуры

ПО Софт Безопасность Стратегия безопасности Интеграция Инфраструктура

Эксперт отдела безопасности промышленных систем управления Positive Technologies Александр Мелких выявил уязвимость в программном обеспечении PRTG Network Monitor разработки немецкой компании Paessler. Данное ПО широко применяется во множестве компаний различных отраслей в качестве вспомогательного элемента, осуществляющего контроль за состоянием устройств в сети. На текущий момент, более 16 тыс. серверов с данным ПО, в том числе в США, Бразилии, Германии и России, доступны из интернета.

Уязвимость CVE-2019-19119 заключается в использовании хешированного пароля в качестве аутентифицирующего фактора в некоторых обработчиках API, что позволяло получить доступ к функциональности ПО PRTG Network Monitor.

Как показывает практика, данное ПО часто устанавливается на пограничных узлах, например между доверенной и недоверенной сетями. Получив доступ к ПО, злоумышленник может извлечь подробную информацию об узлах сети и их конфигурации. Это дает ему широкие возможности для развития атаки. Также было выявлено, что используемая функция вычисления хеша пароля не является криптостойкой и ее нельзя назвать односторонним криптографическим алгоритмом вычисления хеш-функции. При этом реализованный механизм подвержен коллизиям, что позволяет найти исходный пароль или коллизию для его хеша, зная значение хеша и криптографической соли (эти значения хранятся в публичной ветви реестра ОС).

Стоит отметить, что эксперты Positive Technologies уже находили уязвимости в веб-интерфейсе данного ПО в 2018 г. (CVE-2018-19203, CVE-2018-19204, CVE-2018-19410, CVE-2018-19411). Этим уязвимостям была присвоена высокая и критическая степени риска.

«Нельзя отрицать, что для бесперебойной работы современной ИТ-инфраструктуры сложно обходиться без программного обеспечения для ее мониторинга и контроля. Однако при оценке возможных киберугроз для предприятия вспомогательное ПО нельзя списывать со счетов: его также необходимо исследовать на наличие возможных уязвимостей, особенно если оно используется для обеспечения штатного функционирования основного направления компании, например АСУ ТП. Помимо уязвимостей в ПО PRTG Monitor во время работ по анализу защищенности АСУ ТП на проектах встречалось и другое подобное ПО WhatsUP Gold, в котором наши специалисты также находили уязвимости», — сказал руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Вендор в короткие сроки устранил уязвимость и уведомил своих пользователей о необходимости установки новой версии программного обеспечения, отправив соответствующие инструкции.



Технология месяца

Важная тенденция — бум использования «хайповых» технологий в реальных проектах

Елена Лукутина

партнер, директор по операционной деятельности и технологическому развитию «Неофлекс»

партнер «Неофлекс»
Профиль месяца

Мы помогаем выращивать российское ПО

Андрей Филатов

глава SAP CIS