Positive Technologies получила благодарность от Pandora FMS за выявление уязвимостей в одноимённой системе мониторинга

Компания Positive Technologies нашла четыре критических уязвимости в системе мониторинга инфраструктуры Pandora FMS. Используя эти недостатки, злоумышленник мог выполнить произвольный код на сервере. Систему Pandora FMS применяют более 50 тысяч компаний на пяти континентах для мониторинга корпоративных сетей, приложений, серверов и других источников данных. Производитель был уведомлен об ошибках в рамках политики ответственного разглашения и выпустил обновления безопасности. Pandora FMS уже поблагодарила Positive Technologies за обнаружение уязвимостей.

По словам старшего специалиста группы анализа защищённости веб‑приложений Positive Technologies Алексея Соловьёва, в Pandora FMS были найдены две уязвимости внедрения SQL‑кода (CVE-2023–44 090, CVE-2023–44 091), не требовавшие аутентификации, позволяющие атакующему читать произвольные данные из базы данных, например сессии пользователей. Прочитав сессию администратора, можно было бы получить доступ к панели администратора и проэксплуатировать одну из двух других обнаруженных уязвимостей — запись исполняемого файла за пределами директории (Path Traversal, CVE-2023–41 793) или внедрение команды в операционной системе (OS Command Injection, CVE-2023–44 092). Это привело бы к выполнению удалённого кода на сервере и полной его компрометации. В дальнейшем атакующий мог бы запускать на таком сервере майнеры, получать доступ к приватным данным, развивать атаку на другие узлы корпоративной сети.

Каждая из выявленных уязвимостей CVE-2023–44 090 (BDU:2024–03 166), CVE-2023–44 091 (BDU:2024–03 165), CVE-2023–44 092 (BDU:2024–03 164) и CVE-2023–41 793 (BDU:2024–03 167) получила оценку 9,1 балла из 10 по шкале оценки уязвимостейCVSS 3.0. Для устранения уязвимостей необходимо обновить