MaxPatrol EDR
Обнаруживает и молниеносно реагирует на вредоносные действия
Эксперт PT SWARM Максим Ильин помог устранить уязвимость в опенсорсном веб-приложении iTop, предназначенном для автоматизации управления IT-инфраструктурой и обеспечения бесперебойной работы сервисов. Эксплуатация уязвимости могла бы позволить атакующему удаленно выполнять команды в операционной системе и впоследствии проникнуть во внутреннюю инфраструктуру компании или продолжить перемещение по сети. Разработчик проекта был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление.
Уязвимость PT-2025-461821 (CVE-2025-47286, BDU:2025-06926), затронувшая версии iTop младше 2.7.13 и 3.2.2 соответственно, оценена в 8,6 балла из 10 по шкале CVSS 4.0, что соответствует высокому уровню угрозы. Для успешной атаки с помощью этой уязвимости злоумышленнику достаточно было бы подобрать пароль пользователя с административными правами, после чего он смог бы удаленно выполнить произвольный код. Брешь потенциально открывала нарушителю доступ к внутренней инфраструктуре и данным компаний.
Для устранения недостатка безопасности следует как можно скорее обновить веб-приложение iTop до версии не ниже 2.7.13 или 3.2.2. Если загрузить исправление не получается, эксперт Positive Technologies рекомендует изъять систему с внешнего периметра организации, заменить пароли сотрудников на сложные и включить многофакторную аутентификацию. Данные меры снизят риск того, что атакующему удастся получить несанкционированный доступ к системе.
iTop пользуется спросом: приложение добавлено в избранное почти 1000 пользователей и имеет более 250 копий репозитория на веб-сервисе GitHub.
Чтобы воспользоваться уязвимостью, злоумышленнику предварительно потребовалось бы установить административный доступ к программному обеспечению iTop. Гипотетически он мог подобрать логин и пароль пользователя или найти систему, в которой приложение установлено не до конца. Во втором случае нарушитель смог бы сам завершить установку и назначить пароль администратора. Завладев повышенными привилегиями, атакующий имел бы возможность запустить процедуру резервного копирования, в процессе которого смог бы выполнить произвольный код.
1 Недостаток безопасности зарегистрирован на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.
«Успешная эксплуатация уязвимости могла бы позволить атакующему получить начальный доступ к внутренней инфраструктуре компании либо помочь в продвижении по ней. Оказавшись в корпоративном сегменте внутренней сети, злоумышленник получил бы доступ к конфиденциальным данным организации. Впоследствии нарушитель гипотетически мог зашифровать чувствительную информацию, чтобы потребовать выкуп».
Максим ИльинСпециалист отдела тестирования на проникновение Positive Technologies
Positive Technologies и iTop сотрудничают по вопросам ответственного разглашения найденных уязвимостей в рамках собственных политик. Такое партнерство является примером эффективного взаимодействия между исследователями безопасности и вендорами для повышения защищенности IT-решений.
Снизить риски выполнения произвольного кода в системе помогут средства защиты информации класса EDR, например MaxPatrol EDR. Выявив вредоносную активность, продукт отправит уведомление в MaxPatrol SIEM и не даст злоумышленнику продолжить атаку. Для обнаружения подобных уязвимостей можно использовать статический и динамический анализаторы кода, такие как PT Application Inspector и PT BlackBox. Для блокировки попыток эксплуатации уязвимостей стоит использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall (у которого также есть облачная версия — PT Cloud Application Firewall).
Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.
