Любой широко задуманный проект отделяется со временем от проектировщика и окончательный вид принимает в результате коллективных усилий, согласно своей внутренней логике.
Любой широко задуманный проект отделяется со временем от проектировщика и окончательный вид принимает в результате коллективных усилий, согласно своей внутренней логике.
Эксперт Positive Technologies Ариан Рахими обнаружил уязвимость в ASoft CRM — CRM-системе для управления проектами. Система позволяет оптимизировать внутренние процессы, коммуникацию с клиентами, управление маркетингом, продажами, складом и электронным документооборотом. Она применяется в сфере маркетинга, финансов, образования и логистики. По данным TAdviser, ASoft входит в десятку крупнейших вендоров CRM-систем на российском рынке.
Обнаруженная уязвимость получила идентификатор BDU:2022-04486, ей был присвоен высокий уровень опасности (7,5 балла по шкале CVSS 3.0). Недостаточно проработанные механизмы безопасности в ASoft CRM позволяли злоумышленнику использовать уязвимость типа Path Traversal и выполнять чтение любого файла.
«CRM-система — один из самых важных для компании продуктов, так как в ней могут содержаться данные о коммерческой и операционной деятельности предприятия. Кроме того, в ряде случаев CRM-система (в частности, ASoft CRM) может работать с правами суперпользователя, что позволяет прочитать файл с зашифрованными паролями, расшифровать пароль суперпользователя и получить максимальные привилегии на узле. Злоумышленник в подобной ситуации потенциально смог бы не только прочитать или изменить всю информацию в системе, но и развить атаку в корпоративной сети на другие ключевые элементы инфраструктуры», — рассказал Ариан Рахими.
По словам исследователя, подобные проблемы возникают из-за некорректной валидации пути к файлу. Уязвимость позволяет атакующему выйти за пределы папки или каталога и читать файлы в произвольном местоположении.
Уязвимость была обнаружена в ASoft CRM 2.6 и устранена в следующей версии продукта. Снизить риск эксплуатации таких уязвимостей позволяет межсетевой экран уровня веб-приложений (например, PT Application Firewall).
Последний вышедший номер
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.