В минувшую среду Rapid7 опубликовала нотификации, предупредив пользователей об опасных уязвимостях в системах управления сетью, производимых Opsview, Spiceworks, Ipswitch и Castle Rock Computing. Первые два вендора уже выпустили патчи, Ipswitch собирается последовать их примеру, планы Castle Rock пока неизвестны.

Системы управления сетью (NMS) позволяют администраторам контролировать топологию подопечной сети на основе базовых данных (имя хоста, версия ОС и т.п.), собираемых с подключенных устройств по протоколу SNMP. NMS программируются как десктопное приложение или резидентный веб-портал и обычно заносятся в белые списки защитных решений, ибо частые обращения к корпоративным рабочим станциям и серверам могут быть восприняты как подозрительное поведение. Компрометация NMS позволяет атакующему развить свой успех, закрепившись в целевой сети.

«NMS, которые зачастую содержат данные обо всей сети, являются ценной мишенью для злоумышленников, — комментирует Тод Бирдсли, руководитель ИБ-исследований в Rapid7. — Вооружившись NMS, атакующий сможет осуществлять сканирование портов и строить карту сети, не опасаясь поднять тревогу. Более того, стандартные функции NMS помогут ему получить необходимую информацию об атакуемой сети».

В целом у поименованных вендоров NMS было обнаружено шесть уязвимостей — четыре XSS и две SQLi (возможность внедрения SQL-кода). Как отметили журналисты Softpedia, XSS позволяет атакующему получить информацию о пользовательской сессии, которая открывает доступ к интерфейсу административного управления. SQL-инъекция открывает возможность для кражи из расположенной ниже базы данных, содержащей информацию обо всех подключенных к сети устройствах. «В некоторых случаях эти уязвимости позволяют атакующему установить контроль над операционной системой сервера, на котором размещена NMS», — предостерегает Бирдсли.

Список уязвимых NMS-продуктов опубликован в блоге Rapid7, а также в соответствующих записях новостных изданий CSO и Softpedia:

  • [CVE-2015-6021] Spiceworks Desktop, версии 7.3.00065, 7.3.00076, 7.3.00076 (остальные не тестировались); патчи выпущены 1 декабря;
  • [CVE-2015-6004, -6005] Ipswitch WhatsUp Gold, версии 16.2.6, 16.3.1; выпуск патчей был запланирован на 16 декабря, другой информации пока нет;
  • [CVE-2015-6027, -6028] Castle Rock SNMPc Enterprise v9/OnLine v12.1; данные о патчах отсутствуют;
  • [CVE-2015-6035] Opsview, версия 4.6.3; патч вышел 6 ноября.

Категории: Главное, Уязвимости