Поделиться
Эксперт Positive Technologies помог устранить критически опасные уязвимости в системе мониторинга инфраструктуры Pandora FMS
Компания Pandora FMS, разработчик одноименной системы мониторинга ИТ-инфраструктуры, поблагодарила эксперта Positive Technologies Алексея Соловьева за обнаружение четырех уязвимостей. Систему Pandora FMS применяют более 50 тыс. компаний на пяти континентах для мониторинга корпоративных сетей, приложений, серверов и других источников данных. Производитель был уведомлен об ошибках в рамках политики ответственного разглашения и выпустил обновления безопасности. Об этом CNews сообщили представители Positive Technologies.
«В Pandora FMS были найдены две уязвимости внедрения SQL-кода (CVE-2023-44090, CVE-2023-44091), не требовавшие аутентификации, которые могли бы позволить атакующему читать произвольные данные из базы данных — к примеру, сессии пользователей. Прочитав сессию администратора, можно было бы получить доступ к панели администратора и проэксплуатировать одну из двух других обнаруженных уязвимостей — запись исполняемого файла за пределами директории (Path Traversal, CVE-2023-41793) или внедрение команды в операционной системе (OS Command Injection, CVE-2023-44092). Это привело бы к выполнению удаленного кода на сервере и полной его компрометации. В дальнейшем атакующий мог бы запускать на таком сервере майнеры, получать доступ к приватным данным, развивать атаку на другие узлы корпоративной сети», — сказал Алексей Соловьев, старший специалист группы анализа защищенности веб-приложений, Positive Technologies.
Каждая из выявленных уязвимостей — CVE-2023-44090 (BDU:2024-03166), CVE-2023-44091 (BDU:2024-03165), CVE-2023-44092 (BDU:2024-03164) и CVE-2023-41793 (BDU:2024-03167) — получила оценку 9,1 балла по шкале CVSS 3.0, что означает критический уровень опасности.
Для устранения уязвимостей необходимо обновить Pandora FMS до версии NG 776 RRR или более поздней версии.
Обнаружить выявленные уязвимости можно еще на стадии разработки продукта — с помощью статистического анализатора кода. Чтобы своевременно находить уязвимости и предотвращать их эксплуатацию (в том числе уязвимости внедрения SQL-кода, записи исполняемого файла за пределами директории и внедрения команды в операционной системе), применять динамические анализаторы приложений. Системы поведенческого анализа сетевого трафика также могут детектировать эксплуатацию упомянутых уязвимостей. Межсетевые экраны уровня веб-приложений имеют функциональность по защите от этих уязвимостей. Снизить риски эксплуатации RCE-уязвимостей на конечных точках, в том числе на серверах, помогут решения класса EDR.
Ранее Алексей Соловьев помог устранить уязвимости в системе ИТ-мониторинга Nagios XI, которые могли привести к краже приватных данных и взлому сетевой инфраструктуры.
Поделиться
Короткая ссылка
