Уязвимость позволяет неавторизованным пользователям проводить удаленное исполнение команд ОС на сервере мониторинга при отправке запросов с главной веб-страницы решения, что может привести к компрометации сервера мониторинга.
https://www.securitylab.ru/upload/ib...271b30a48b.jpg
ИТ-компания «Инфосистемы Джет» предупреждает об опасной уязвимости (7,5 баллов из 10 по шкале CVSS v2) в системах мониторинга виртуальной инфраструктуры LPAR2RRD и STOR2RRD Virtual Appliance от производителя Xorux. Проблема ( CVE-2020-24032 ) затрагивает версии LPAR2RRD и STOR2RRD Virtual Appliance с 2.01 по 2.70 и заключается в недостаточной фильтрации данных в параметрах POST-запроса при установке временной зоны. Для эксплуатации уязвимости необходим доступ к функции set timezone через веб-интерфейс продукта. В результате злоумышленники могут получить возможность по внедрению и выполнению команд на сервере решения.
«Уязвимое приложение выполняет внедренные злоумышленником команды в принимающей̆ их операционной̆ системе и позволяет в отдельных случаях полностью скомпрометировать систему, а также обойти средства защиты, применяемые в организации для предотвращения несанкционированного доступа во внутреннюю сеть. https://cve.mitre.org/cgi-bin/cvenam...CVE-2020-24032 может стать отличным плацдармом для дальнейшего развития атаки на внутреннюю сеть.
До устранения уязвимости производителем специалисты «Инфосистемы Джет» рекомендуют ограничить доступ к сценарию /cgi-bin/tz.pl наложенными средствами либо временно ограничить доступ к веб-панели на сетевом уровне.
LPAR2RRD и STOR2RRD Virtual Appliance — программное обеспечение c открытым исходным кодом для мониторинга серверной инфраструктуры и систем хранения данных от чешской компании Xorux. Согласно информации на сайте производителя, данными решениями пользуются финансовые компании, государственные организации, ИТ- и телеком-компании, предприятия сферы энергетики, а также организации в области здравоохранения.