Positive Technologies обнаружила уязвимости в популярной программе управления сетью

Эксперты Positive Technologies Вячеслав Москвин и Антон Вайчикаускас выявили уязвимости в Ipswitch WhatsUp Gold. Это программное обеспечение предназначено для автоматического обнаружения сетевых ресурсов и их взаимосвязи, отслеживания состояния и доступности сети, а также для управления конфигурациями.

«Использование уязвимой версии WhatsUp Gold в промышленном предприятии может привести к киберинцидентам, в том числе к нарушению производственного процесса, — говорит руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров. — У таких продуктов может быть доступ к значительной части сетевого оборудования, включая сетевые устройства, расположенные в технологическом сегменте. Поэтому особенно важно своевременно устранять обнаруженные уязвимости в подобных программах, потому что они представляют особый интерес для злоумышленников». 

Первая уязвимость (CVE-2018-5777) в Ipswitch WhatsUp Gold позволяет удаленному атакующему воспользоваться неправильной конфигурацией TFTP-сервера и выполнить произвольные команды в операционной системе самого сервера. Злоумышленник может получить доступ ко всей информации на сервере, а также создать плацдарм для последующего развития атаки на сетевую инфраструктуру. 

Вторая уязвимость (CVE-2018-5778) связана с недостаточной фильтрацией пользовательского ввода на некоторых веб-страницах WhatsUp Gold и возможностью выполнить SQL-инъекцию. В зависимости от настроек СУБД[1] это может предоставить злоумышленнику различные возможности, от несанкционированного полного доступа к базе данных этого ПО — до выполнения произвольного кода. В результате атакующий может получить доступ к учетным данным для управления сетевым оборудованием, хранящимся в базе данных уязвимой системы. 

Для устранения обнаруженных уязвимостей необходимо обновить WhatsUp Gold до версии не ниже WhatsUp Gold 2017 Plus Service Pack 2 (v.17.1.2).


[1] Система управления базами данных (СУБД) — с помощью данного ПО пользователи могут создавать и поддерживать базу данных, а также осуществлять к ней контролируемый доступ.

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Интернет, ПО, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

20.03.2019 Рынок носимых устройств будет расти за счет нового функционала

13.03.2019 Реклама в интернете прирастает за счет казино

12.03.2019 ИИ за 35 млрд долларов

27.02.2019 Интернет вещей вытеснит роуминг в доходах операторов

26.02.2019 Эра складных смартфонов. Пока не наступит

25.02.2019 Private Label для электроники. Риск или точка роста?

21.02.2019 «Билайн» запустил антиоператорское телевидение

14.02.2019 В цифровую экономику – с цифровой неграмотностью

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга