Новости партнеров

Устранена уязвимость в решении IBM Maximo, выявленная экспертами Positive Technologies

Уязвимость в системе IBM Maximo Asset Management была выявлена экспертами Positive Technologies Андреем Медовым и Арсением Шароглазовым. Эта система применяется для управления ремонтом и техоблуживанием производственных активов в крупнейших фармацевтических, нефтегазовых, автомобилестроительных, аэрокосмических, железнодорожных компаниях, в аэропортах, в морских портах, на АЭС и в других сферах.
Уязвимость CVE-2020-4521, обнаруженная в версиях 7.6.0 и 7.6.1 системы, имеет высокий уровень опасности (8,8 баллов по шкале CVSS) и связана с небезопасной десериализацией¹ в Java. Ошибка может позволить удаленному злоумышленнику выполнить произвольный код в системе. Для эксплуатации уязвимости атакующий должен отправить специально созданный нелегитимный запрос, будучи аутентифицированным в системе (достаточно минимальных привилегий).
«Как и в случае с CVE-2020-4529 — другой уязвимостью в IBM Maximo, для эксплуатации CVE-2020-4521 атакующий может иметь низкие привилегии и уровень доступа рядового оператора — например, кладовщика, который удаленно подключается к системе и заносит позиции в базу, — объясняет Андрей Медов. — Атакующий отправляет на сервер специально подготовленный Java-объект в сериализованном виде. Из-за небезопасного механизма десериализации этот объект можно восстановить на сервере из последовательности байтов и использовать в атаке. При успешной эксплуатации уязвимости злоумышленник получит возможность удаленного выполнения кода и полного контроля над веб-приложением IBM Maximo, что может быть использовано для доступа к корпоративной и технологической сетям предприятия. Возможность дальнейшего развития атаки зависит от конкретной конфигурации системы и наличия других уязвимостей».
Проблема затрагивает также специализированные отраслевые решения, реализованные на базе 7.6.0 и 7.6.1 версий системы: Maximo for AviationMaximo for Life SciencesMaximo for Nuclear PowerMaximo for Oil and GasMaximo for TransportationMaximo for Utilities, а также продукты SmartCloud Control DeskIBM Control Desk и Tivoli Integration Composer.
Для устранения уязвимости необходимо обновить IBM Maximo Asset Management и связанные с этой системой решения и продукты до последних версий в соответствии с рекомендациями производителя.

  1. Десериализация — процесс восстановления объекта из последовательности байтов.
https://www.ptsecurity.com/ru-ru/about/news/ustranena-uyazvimost-v-reshenii-ibm-maximo-vyyavlennaya-ekspertami-positive-technologies/
Positive Technologies