Positive Technologies помогла укрепить защиту системы управления IT-инфраструктурой iTop

Эксперт PT SWARM Максим Ильин помог устранить уязвимость в опенсорсном веб-приложении iTop, предназначенном для автоматизации управления IT-инфраструктурой и обеспечения бесперебойной работы сервисов. Эксплуатация уязвимости могла бы позволить атакующему удаленно выполнять команды в операционной системе и впоследствии проникнуть во внутреннюю инфраструктуру компании или продолжить перемещение по сети. Разработчик проекта был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление.

Уязвимость PT-2025-46182 (CVE-2025-47286, BDU:2025-06926), затронувшая версии iTop младше 2.7.13 и младше 3.2.2, оценена в 8,6 балла из 10 по шкале CVSS 4.0, что соответствует высокому уровню угрозы. Для успешной атаки с помощью этой уязвимости злоумышленнику достаточно было бы подобрать пароль пользователя с административными правами, после чего он смог бы удаленно выполнить произвольный код. Брешь потенциально открывала нарушителю доступ к внутренней инфраструктуре и данным компаний.

Для устранения недостатка безопасности следует как можно скорее обновить веб-приложение iTop до версии не ниже 2.7.13 или 3.2.2. Если загрузить исправление не получается, эксперт Positive Technologies рекомендует изъять систему с внешнего периметра организации, заменить пароли сотрудников на сложные и включить многофакторную аутентификацию. Данные меры снизят риск того, что атакующему удастся получить несанкционированный доступ к системе.

iTop пользуется спросом: приложение добавлено в избранное почти 1000 пользователями и имеет более 250 копий репозитория на веб-сервисе GitHub.

Чтобы воспользоваться уязвимостью, злоумышленнику предварительно потребовалось бы получить административный доступ к программному обеспечению iTop. Гипотетически он мог подобрать логин и пароль пользователя или найти систему, в которой приложение установлено не до конца. Во втором случае нарушитель смог бы сам завершить установку и назначить пароль администратора. Завладев повышенными привилегиями, атакующий имел бы возможность запустить процедуру резервного копирования, в процессе которой смог бы выполнить произвольный код.

«Успешная эксплуатация уязвимости могла бы позволить атакующему получить начальный доступ к внутренней инфраструктуре компании либо помочь в продвижении по ней, —рассказал Максим Ильин, специалист отдела тестирования на проникновение Positive Technologies. — Оказавшись в корпоративном сегменте внутренней сети, злоумышленник получил бы доступ к конфиденциальным данным организации. Впоследствии нарушитель гипотетически мог зашифровать чувствительную информацию, чтобы потребовать выкуп».

Positive Technologies и iTop сотрудничают по вопросам ответственного разглашения найденных уязвимостей в рамках собственных политик. Такое партнерство является примером эффективного взаимодействия между исследователями безопасности и вендорами для повышения защищенности IT-решений.

Снизить риски выполнения произвольного кода в системе помогут средства защиты информации класса EDR, например MaxPatrol EDR. Выявив вредоносную активность, продукт отправит уведомление в MaxPatrol SIEM и не даст злоумышленнику продолжить атаку. Для обнаружения подобных уязвимостей можно использовать статические и динамические анализаторы кода, такие как PT Application Inspector и PT BlackBox. Для блокировки попыток эксплуатации уязвимостей стоит использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall (у которого также есть облачная версия — PT Cloud Application Firewall).