13/06/24
Pandora FMS, разработчик одноименной системы мониторинга IT-инфраструктуры, поблагодарила эксперта Positive Technologies Алексея Соловьева за обнаружение четырех уязвимостей. Систему Pandora FMS применяют более 50 тысяч компаний на пяти континентах для мониторинга корпоративных сетей, приложений, серверов и других источников данных. Производитель был уведомлен об ошибках в рамках политики ответственного разглашения и выпустил обновления безопасности.
«В Pandora FMS были найдены две уязвимости внедрения SQL-кода (CVE-2023-44090, CVE-2023-44091), не требовавшие аутентификации, которые могли бы позволить атакующему читать произвольные данные из базы данных — к примеру, сессии пользователей. Прочитав сессию администратора, можно было бы получить доступ к панели администратора и проэксплуатировать одну из двух других обнаруженных уязвимостей — запись исполняемого файла за пределами директории (Path Traversal, CVE-2023-41793) или внедрение команды в операционной системе (OS Command Injection, CVE-2023-44092). Это привело бы к выполнению удаленного кода на сервере и полной его компрометации. В дальнейшем атакующий мог бы запускать на таком сервере майнеры, получать доступ к приватным данным, развивать атаку на другие узлы корпоративной сети», — рассказывает Алексей Соловьев, старший специалист группы анализа защищенности веб-приложений, Positive Technologies.
Каждая из выявленных уязвимостей — CVE-2023-44090 (BDU:2024-03166), CVE-2023-44091 (BDU:2024-03165), CVE-2023-44092 (BDU:2024-03164) и CVE-2023-41793 (BDU:2024-03167) — получила оценку 9,1 балла по шкале CVSS 3.0, что означает критический уровень опасности.
Для устранения уязвимостей необходимо обновить Pandora FMS до версии NG 776 RRR или более поздней версии.
Обнаружить выявленные уязвимости можно еще на стадии разработки продукта — с помощью статистического анализатора кода, такого как PT Application Inspector. Чтобы своевременно находить уязвимости и предотвращать их эксплуатацию (в том числе уязвимости внедрения SQL-кода, записи исполняемого файла за пределами директории и внедрения команды в операционной системе), эффективно применять динамические анализаторы приложений, например PT BlackBox. Системы поведенческого анализа сетевого трафика также могут детектировать эксплуатацию упомянутых уязвимостей. Например, PT Network Attack Discovery (PT NAD) обнаруживает злоумышленников, которые используют уязвимости SQL injection, path Traversal и OS Command Injection, с помощью правил обнаружения 10010900, 10010901, 10010902 и 10010908. Межсетевые экраны уровня веб-приложений, например PT Applicatiom Firewall, у которого также есть облачная версия — PT Cloud Application Firewall, имеют функциональность по защите от этих уязвимостей. Снизить риски эксплуатации RCE-уязвимостей на конечных точках, в том числе на серверах, помогут решения класса EDR, например MaxPatrol EDR. Продукт, обнаружив вредоносную активность, отправляет уведомление в MaxPatrol SIEM и не дает злоумышленнику продолжить атаку.
