Positive Technologies обнаружила уязвимости в популярной программе управления сетью

Логотип компании
16.02.2018
Positive Technologies обнаружила уязвимости в популярной программе управления сетью
Программу используют системные администраторы в банках, госсекторе, промышленности и других сферах по всему миру.

Эксперты Positive Technologies Вячеслав Москвин и Антон Вайчикаускас выявили уязвимости в Ipswitch WhatsUp Gold. Это программное обеспечение предназначено для автоматического обнаружения сетевых ресурсов и их взаимосвязи, отслеживания состояния и доступности сети, а также для управления конфигурациями.

«Использование уязвимой версии WhatsUp Gold в промышленном предприятии может привести к киберинцидентам, в том числе к нарушению производственного процесса, — говорит руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров. У таких продуктов может быть доступ к значительной части сетевого оборудования, включая сетевые устройства, расположенные в технологическом сегменте. Поэтому особенно важно своевременно устранять обнаруженные уязвимости в подобных программах, потому что они представляют особый интерес для злоумышленников».

Первая уязвимость (CVE-2018-5777) в Ipswitch WhatsUp Gold позволяет удаленному атакующему воспользоваться неправильной конфигурацией TFTP-сервера и выполнить произвольные команды в операционной системе самого сервера. Злоумышленник может получить доступ ко всей информации на сервере, а также создать плацдарм для последующего развития атаки на сетевую инфраструктуру.

Вторая уязвимость (CVE-2018-5778) связана с недостаточной фильтрацией пользовательского ввода на некоторых веб-страницах WhatsUp Gold и возможностью выполнить SQL-инъекцию. В зависимости от настроек СУБД это может предоставить злоумышленнику различные возможности, от несанкционированного полного доступа к базе данных этого ПО — до выполнения произвольного кода. В результате атакующий может получить доступ к учетным данным для управления сетевым оборудованием, хранящимся в базе данных уязвимой системы.

Для устранения обнаруженных уязвимостей необходимо обновить WhatsUp Gold до версии не ниже WhatsUp Gold 2017 Plus Service Pack 2 (v.17.1.2).

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
В 2024 году российский рынок программного обеспечения демонстрирует позитивную динамику после спада, вызванного санкциями и уходом западных вендоров. Инженерное ПО вырастет на 20%, достигнув объема 50 млрд рублей, а рынок инфраструктурного ПО укрепляется на уровне 101 млрд рублей. К 2030 году ожидается значительный рост с акцентом на импортозамещение и развитие отечественных решений. IT-World проанализировал основные показатели, прогнозы и трудности, с которыми сталкивается рынок в условиях изменившейся экономической ситуации.

Источник: Пресс-служба компании Positive Technologies

Журнал IT News

Похожие статьи