Positive Technologies
Новости

Эксперт Positive Technologies помог устранить критически опасные уязвимости в системе мониторинга инфраструктуры Pandora FMS

Используя эти недостатки, злоумышленник мог выполнить произвольный код на сервере

Компания Pandora FMS, разработчик одноименной системы мониторинга IT-инфраструктуры, поблагодарила эксперта Positive Technologies Алексея Соловьева за обнаружение четырех уязвимостей. Систему Pandora FMS применяют более 50 тысяч компаний на пяти континентах для мониторинга корпоративных сетей, приложений, серверов и других источников данных. Производитель был уведомлен об ошибках в рамках политики ответственного разглашения и выпустил обновления безопасности.

«В Pandora FMS были найдены две уязвимости внедрения SQL-кода (CVE-2023-44090, CVE-2023-44091), не требовавшие аутентификации, которые могли бы позволить атакующему читать произвольные данные из базы данных — к примеру, сессии пользователей. Прочитав сессию администратора, можно было бы получить доступ к панели администратора и проэксплуатировать одну из двух других обнаруженных уязвимостей — запись исполняемого файла за пределами директории (Path Traversal, CVE-2023-41793) или внедрение команды...

Алексей Соловьев
Алексей СоловьевСтарший специалист группы анализа защищенности веб-приложений, Positive Technologies

Каждая из выявленных уязвимостей — CVE-2023-44090 (BDU:2024-03166), CVE-2023-44091 (BDU:2024-03165), CVE-2023-44092 (BDU:2024-03164) и CVE-2023-41793 (BDU:2024-03167) — получила оценку 9,1 балла по шкале CVSS 3.0, что означает критический уровень опасности.

Для устранения уязвимостей необходимо обновить Pandora FMS до версии NG 776 RRR или более поздней версии.

Обнаружить выявленные уязвимости можно еще на стадии разработки продукта — с помощью статистического анализатора кода, такого как PT Application Inspector. Чтобы своевременно находить уязвимости и предотвращать их эксплуатацию (в том числе уязвимости внедрения SQL-кода, записи исполняемого файла за пределами директории и внедрения команды в операционной системе), эффективно применять динамические анализаторы приложений, например PT BlackBox. Системы поведенческого анализа сетевого трафика также могут детектировать эксплуатацию упомянутых уязвимостей. Например, PT Network Attack Discovery (PT NAD) обнаруживает злоумышленников, которые используют уязвимости SQL injection, path Traversal и OS Command Injection, с помощью правил обнаружения 10010900, 10010901, 10010902 и 10010908. Межсетевые экраны уровня веб-приложений, например PT Applicatiom Firewall, у которого также есть облачная версия — PT Cloud Application Firewall, имеют функциональность по защите от этих уязвимостей. Снизить риски эксплуатации RCE-уязвимостей на конечных точках, в том числе на серверах, помогут решения класса EDR, например MaxPatrol EDR. Продукт, обнаружив вредоносную активность, отправляет уведомление в MaxPatrol SIEM и не дает злоумышленнику продолжить атаку.

Ранее Алексей Соловьев помог устранить уязвимости в системе IT-мониторинга Nagios XI, которые могли привести к краже приватных данных и взлому сетевой инфраструктуры.

Может быть интересно: