Уязвимость BDU:2023-02979

Уязвимость BDU:2023-02979

Идентификатор: BDU:2023-02979.

Наименование уязвимости: Уязвимость компонента Student Console платформы управления компьютерными сетями в образовании Faronics Insight, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных.

Описание уязвимости: Уязвимость компонента Student Console платформы управления компьютерными сетями в образовании Faronics Insight связана с обходом процедуры аутентификации посредством использования альтернативного пути или канала при обработке конечных точек. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление данных путем подключения к порту 8890
Уязвимое ПО: Прикладное ПО информационных систем Faronics Corporation Faronics Insight до 11.23.x.289 |

Наименование ОС и тип аппаратной платформы: Windows — |
Дата выявления: 01.02.2023.
CVSS 2.0: AV:A/AC:L/Au:N/C:N/I:N/A:P
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,5)

Возможные меры по устранению:
Использование рекомендаций:
https://docs.faronics.com/faronics-insight/release-notes

Компенсирующие меры:
1. Реализовать проверку для каждой конечной точки API (только для локального хоста), чтобы гарантировать, что IP-адрес отправителя запроса HTTP является либо «localhost», либо «127.0.0.1». (В результате чего попытки связаться с веб-сервером удаленно блокируются ошибкой 404);
2. Установить второй веб-сервер, на котором размещены частные конечные точки API и настроить его только на прослушивание HTTP-трафика с локального хоста.
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-28346.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://research.nccgroup.com/2023/05/30/technical-advisory-multiple-vulnerabilities-in-faronics-insight/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: