Уязвимость BDU:2022-04187

Дата: 05.02.2019. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04187.

Наименование уязвимости: Уязвимость компонента ManagedIT.asmx плагина ConnectWise ManagedITSync платформы управления IT-инфраструктурой Kaseya VSA, позволяющая нарушителю выполнить произвольные SQL-команды.

Описание уязвимости: Уязвимость компонента ManagedIT.asmx платформы управления бизнесом ConnectWise ManagedITSync связана с отсутствием проверки достоверности последовательностей XML-объетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные SQL-команды через веб-интерфейс Kaseya VSA
Уязвимое ПО: Прикладное ПО информационных систем ConnectWise, LLC. ConnectWise ManagedITSync до 2017 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 05.02.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— удалить плагин ConnectWise ManagedITSync;
— использование средств антивирусной защиты;
— контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений.
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-18362.

Тип ошибки CWE: CWE-89
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://webcache.googleusercontent.com/search?q=cache:ZEo8ZRF_iEIJ:https://helpdesk.kaseya.com/hc/en-gb/articles/360022495572-Connectwise-API-Vulnerability+
https://github.com/kbni/owlky
http://archive.today/rdkeQ

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *