`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

В IBM Maximo исправлена уязвимость, позволявшая удаленно выполнить произвольный код

2 октября 2020 г., 11:45
0 
 

Специалисты Positive Technologies выявили уязвимость в системе IBM Maximo Asset, которая применяется для управления ремонтом и техоблуживанием производственных активов в крупнейших фармацевтических, нефтегазовых, автомобилестроительных, аэрокосмических, железнодорожных компаниях, в аэропортах, в морских портах, на АЭС и в других сферах.

Уязвимость CVE-2020-4521, обнаруженная в версиях 7.6.0 и 7.6.1 системы, имеет высокий уровень опасности (8,8 баллов по шкале CVSS) и связана с небезопасной десериализацией в Java. Ошибка может позволить удаленному злоумышленнику выполнить произвольный код в системе. Для эксплуатации уязвимости атакующий должен отправить специально созданный нелегитимный запрос, будучи аутентифицированным в системе (достаточно минимальных привилегий).

Как и в случае с CVE-2020-4529 – другой уязвимостью в IBM Maximo, для эксплуатации CVE-2020-4521 атакующий может иметь низкие привилегии и уровень доступа рядового оператора – например, кладовщика, который удаленно подключается к системе и заносит позиции в базу. Атакующий отправляет на сервер специально подготовленный Java-объект в сериализованном виде. Из-за небезопасного механизма десериализации этот объект можно восстановить на сервере из последовательности байтов и использовать в атаке. При успешной эксплуатации уязвимости злоумышленник получит возможность удаленного выполнения кода и полного контроля над веб-приложением IBM Maximo, что может быть использовано для доступа к корпоративной и технологической сетям предприятия. Возможность дальнейшего развития атаки зависит от конкретной конфигурации системы и наличия других уязвимостей.

Проблема затрагивает также специализированные отраслевые решения, реализованные на базе 7.6.0 и 7.6.1 версий системы: Maximo for Aviation, Maximo for Life Sciences, Maximo for Nuclear Power, Maximo for Oil and Gas, Maximo for Transportation, Maximo for Utilities, а также продукты SmartCloud Control Desk, IBM Control Desk и Tivoli Integration Composer.

Для устранения уязвимости необходимо обновить IBM Maximo Asset Management и связанные с этой системой решения и продукты до последних версий в соответствии с рекомендациями производителя.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT