Рубрикатор |
Все новости | Новости отрасли |
В популярной программе управления сетью обнаружены уязвимости
16 февраля 2018 |
Эксперты Positive Technologies Вячеслав Москвин и Антон Вайчикаускас выявили уязвимости в Ipswitch WhatsUp Gold. Это программное обеспечение предназначено для автоматического обнаружения сетевых ресурсов и их взаимосвязи, отслеживания состояния и доступности сети, а также для управления конфигурациями.
«Использование уязвимой версии WhatsUp Gold в промышленном предприятии может привести к киберинцидентам, в том числе к нарушению производственного процесса, — говорит руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров. — У таких продуктов может быть доступ к значительной части сетевого оборудования, включая сетевые устройства, расположенные в технологическом сегменте. Поэтому особенно важно своевременно устранять обнаруженные уязвимости в подобных программах, потому что они представляют особый интерес для злоумышленников».Первая уязвимость (CVE-2018-5777) в Ipswitch WhatsUp Gold позволяет удаленному атакующему воспользоваться неправильной конфигурацией TFTP-сервера и выполнить произвольные команды в операционной системе самого сервера. Злоумышленник может получить доступ ко всей информации на сервере, а также создать плацдарм для последующего развития атаки на сетевую инфраструктуру.
Вторая уязвимость (CVE-2018-5778) связана с недостаточной фильтрацией пользовательского ввода на некоторых веб-страницах WhatsUp Gold и возможностью выполнить SQL-инъекцию. В зависимости от настроек СУБД[1] это может предоставить злоумышленнику различные возможности, от несанкционированного полного доступа к базе данных этого ПО — до выполнения произвольного кода. В результате атакующий может получить доступ к учетным данным для управления сетевым оборудованием, хранящимся в базе данных уязвимой системы.
Для устранения обнаруженных уязвимостей необходимо обновить WhatsUp Gold до версии не ниже WhatsUp Gold 2017 Plus Service Pack 2 (v.17.1.2).
Источник: Positive Technologies
Читайте также:
Positive Technologies заплатит белым хакерам 60 млн рублей за закладку в коде своих продуктов
Российские государственные компании атакует новая кибергруппировка
«Агропромцифра» строит центр противодействия киберугрозам
Выплаты за багбаунти в России сопоставимы с вознаграждением на мировых платформах
40% инцидентов связаны с деятельностью известных APT-группировок
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.