Промышленные сети то и дело подкидывают какую-нибудь задачку…

 

Связь с редакцией
Рассылка новостей

В популярной CRM-системе устранена опасная уязвимость

14.09.2022 19:02

Эксперт Positive Technologies Ариан Рахими обнаружил уязвимость в ASoft CRM — CRM-системе для управления проектами. Система позволяет оптимизировать внутренние процессы, коммуникацию с клиентами, управление маркетингом, продажами, складом и электронным документооборотом. Она применяется в сфере маркетинга, финансов, образования и логистики. По данным TAdviser, ASoft входит в десятку крупнейших вендоров CRM-систем на российском рынке.

Обнаруженная уязвимость получила идентификатор BDU:2022-04486, ей был присвоен высокий уровень опасности (7,5 балла по шкале CVSS 3.0). Недостаточно проработанные механизмы безопасности в ASoft CRM позволяли злоумышленнику использовать уязвимость типа Path Traversal и выполнять чтение любого файла.

«CRM-система — один из самых важных для компании продуктов, так как в ней могут содержаться данные о коммерческой и операционной деятельности предприятия. Кроме того, в ряде случаев CRM-система (в частности, ASoft CRM) может работать с правами суперпользователя, что позволяет прочитать файл с зашифрованными паролями, расшифровать пароль суперпользователя и получить максимальные привилегии на узле. Злоумышленник в подобной ситуации потенциально смог бы не только прочитать или изменить всю информацию в системе, но и развить атаку в корпоративной сети на другие ключевые элементы инфраструктуры», — рассказал Ариан Рахими.

По словам исследователя, подобные проблемы возникают из-за некорректной валидации пути к файлу. Уязвимость позволяет атакующему выйти за пределы папки или каталога и читать файлы в произвольном местоположении.

Уязвимость была обнаружена в ASoft CRM 2.6 и устранена в следующей версии продукта. Снизить риск эксплуатации таких уязвимостей позволяет межсетевой экран уровня веб-приложений (например, PT Application Firewall).

www.ptsecurity.com

Хроника

Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru

© ООО Издательский дом "ИнфоАвтоматизация", 2003-2022 гг.

Rambler`s Top100 Rambler`s Top100
Рейтинг@Mail.ru
РассылкиSubscribe.Ru
Автоматизация в
промышленности