24/08/20
ИТ-компания «Инфосистемы Джет» предупреждает об опасной уязвимости (7,5 баллов из 10 по шкале CVSS v2) в системах мониторинга виртуальной инфраструктуры LPAR2RRD и STOR2RRD Virtual Appliance от производителя Xorux. Проблема ( CVE-2020-24032 ) затрагивает версии LPAR2RRD и STOR2RRD Virtual Appliance с 2.01 по 2.70 и заключается в недостаточной фильтрации данных в параметрах POST-запроса при установке временной зоны.«Уязвимое приложение выполняет внедренные злоумышленником команды в принимающей̆ их операционной̆ системе и позволяет в отдельных случаях полностью скомпрометировать систему, а также обойти средства защиты, применяемые в организации для предотвращения несанкционированного доступа во внутреннюю сеть. CVE-2020-24032 может стать отличным плацдармом для дальнейшего развития атаки на внутреннюю сеть.
До устранения уязвимости производителем специалисты «Инфосистемы Джет» рекомендуют ограничить доступ к сценарию /cgi-bin/tz.pl наложенными средствами либо временно ограничить доступ к веб-панели на сетевом уровне.
LPAR2RRD и STOR2RRD Virtual Appliance — программное обеспечение c открытым исходным кодом для мониторинга серверной инфраструктуры и систем хранения данных от чешской компании Xorux. Согласно информации на сайте производителя, данными решениями пользуются финансовые компании, государственные организации, ИТ- и телеком-компании, предприятия сферы энергетики, а также организации в области здравоохранения.
