MaxPatrol EDR
Обнаруживает и молниеносно реагирует на вредоносные действия
Эксперты Positive Technologies Алексей Соловьев, Никита Свешников, Владимир Власов и Николай Арчаков обнаружили ряд уязвимостей в российской платформе для HR-автоматизации Websoft HCM. До исправления недостатки безопасности могли позволить нарушителю похитить данные с платформы и захватить контроль над сервером. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и оперативно выпустил обновление ПО.
Платформа Websoft HCM входит в экосистему цифровых продуктов для HR, созданную российской компанией Websoft. Согласно информации на сайте вендора, его сервисы регулярно применяют более 500 организаций из банковского сектора, транспортной и энергетической отраслей, а также из других сфер экономики. Помимо России, платформа используется в Казахстане, Узбекистане и Белоруссии.
Уязвимостям PT-2025-53 458–PT-2025-53 4901 (BDU: 2025-12 743–BDU: 2025-12 775) было присвоено от 4,1 до максимально возможных 10,0 балла по шкале CVSS 3.1. Дефекты безопасности содержались в Websoft HCM 2025.1. Ряд найденных брешей мог быть использован для атак на серверную часть платформы. Самые опасные уязвимости этой категории были связаны с удаленным выполнением кода (RCE). Для эксплуатации большинства таких недостатков безопасности внешнему нарушителю необходимо было бы повысить привилегии в системе, однако уязвимости PT-2025-53 467 (BDU: 2025-12 752) и PT-2025-53 468 (BDU: 2025-12 753) не требовали аутентификации пользователя, что существенно упрощало проведение успешной атаки. В результате злоумышленник мог бы получить полный контроль над сервером.
1 Недостатки безопасности зарегистрированы на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.
Кроме того, нарушитель мог бы использовать цепочку из нескольких ошибок для реализации социотехнических атак2. Внедрив вредоносный код на определенные страницы Websoft HCM или сформировав для платформы вредоносные ссылки, злоумышленник смог бы перенаправить на них пользователя, чтобы похитить его персональные и учетные данные.
Чтобы оставаться защищенными, компаниям необходимо в кратчайшие сроки обновить Websoft HCM до актуальной версии или воспользоваться патчем.
2 Социотехническая атака — вид хакерской атаки, при которой злоумышленники манипулируют поведением пользователей для получения доступа к системе или данным.
«Недостатки защиты, подобные найденным на платформе Websoft HCM, могут присутствовать в коде даже самого опытного программиста. Причина часто кроется в том, что вопросы безопасности не всегда очевидны при разработке без специализированных подходов и инструментов. Сотрудничество с вендором в рамках политики ответственного разглашения — это стандарт индустрии, который позволяет оперативно закрывать потенциальные векторы атак до их возможной эксплуатации. Чтобы снизить риск взлома, пользователям важно следить за актуальностью версий используемого ПО: обновление может нести в себе не только дополнительную функциональность, но и исправление уязвимостей, в том числе критически опасных».
Алексей СоловьевРуководитель группы экспертизы отдела анализа защищенности веб-приложений, Positive Technologies
«Безопасность данных наших клиентов — абсолютный приоритет для Websoft. Мы благодарны команде Positive Technologies за профессионально выполненный анализ защищенности нашей платформы и конструктивное сотрудничество, — отметил Алексей Попов, руководитель команды разработки Websoft HCM. — Websoft HCM как enterprise-решение, используемое для управления важными HR-данными в крупнейших российских компаниях, предоставляет открытый API и low-code-инструменты3, что предъявляет повышенные требования к контролю безопасности. Мы проводим регулярные аудиты безопасности и оперативно выпускаем обновления, все обнаруженные экспертами Positive Technologies уязвимости были устранены в версии 2025.2. Мы рекомендуем нашим клиентам оперативно обновить систему и продолжаем инвестировать в усиление защиты платформы на всех уровнях».
Алексей ПоповРуководитель команды разработки Websoft HCM
Продвинутые продукты классов NTA/NDR, например PT Network Attack Discovery, детектируют попытки эксплуатации данных уязвимостей, а продукты класса NGFW, такие как PT NGFW, блокируют их. Находить уязвимости еще на стадии разработки поможет статистический анализатор кода, например PT Application Inspector. Чтобы снизить риски эксплуатации дефектов безопасности, используйте средства защиты информации класса EDR, например MaxPatrol EDR, и межсетевые экраны уровня веб-приложений, такие как PT Application Firewall, у которого также есть облачная версия — PT Cloud Application Firewall.
Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.
3 Low-code — метод проектирования и разработки приложений, который позволяет минимизировать написание кода за счет использования графических интерфейсов.
