Специалисты компании Positive Technologies Андрей Медов и Арсений Шароглазов нашли в системе IBM Maximo Asset Management уязвимость, которую киберпреступники могут применять для получения доступа во внутренние сети организаций. IBM Maximo – CMMS-система, которая применяется для управления техобслуживанием и ремонтом производственных активов крупных промышленных, производственных, торговых, обслуживающих предприятий.
Уязвимость с идентификатором CVE-2020-4529 найдена в версиях IBM Maximo 7.6.0 и 7.6.1. С ее помощью киберпреступники могут подделывать запросы со стороны сервера. Обнаруженная брешь обладает повышенным уровнем опасности. При ее эксплуатации аутентифицированные хакеры с низкими привилегиями могут отправлять нелегитимные запросы из системы, чтобы просканировать сеть и развить иные виды кибератак.
Арсений Шароглазов высказался по теме: «IBM Maximo применяется на крупных промышленных предприятиях, поэтому наличие любых багов в ней привлекает киберпреступников, которые заинтересованы в проникновении во внутренние сети компании. В качестве источника угрозы может выступить любой пользователь с низкими привилегиями – например, кладовщики, которые заносят новые записи в базу данных товаров. Найденная нами уязвимость позволяет с любой учетной записи удаленно исполнять код, после чего получать доступ к внутренней сети, документации, к сети АСУ ТП».
Обнаруженная специалистами уязвимость затрагивает множество отраслевых решений Maximo: for Utilities, for Aviation, for Oil иand Gas, for Nuclear Power и других специализированных продуктов для конкретных промышленных сфер деятельности.
Чтобы устранить найденную уязвимость, эксперты рекомендуют немедленно установить последнее обновление в IBM Maximo и для остальных программных продуктов, которые связаны с системой. После обновления специалисты Positive Technologies советуют начать использование межсетевых экранов на уровне приложений, чтобы защититься от кибератак через web-уязвимости, постоянно тестировать систему на проникновение, предоставлять доступ к системе для внутренней эксплуатации исключительно через сертификаты или VPN.
