Positive Technologies
Новости

Устранена уязвимость в решении IBM Maximo, выявленная экспертами Positive Technologies

Уязвимость в системе IBM Maximo Asset Management была выявлена экспертами Positive Technologies Андреем Медовым и Арсением Шароглазовым. Эта система применяется для управления ремонтом и техоблуживанием производственных активов в крупнейших фармацевтических, нефтегазовых, автомобилестроительных, аэрокосмических, железнодорожных компаниях, в аэропортах, в морских портах, на АЭС и в других сферах.

Уязвимость CVE-2020-4521, обнаруженная в версиях 7.6.0 и 7.6.1 системы, имеет высокий уровень опасности (8,8 баллов по шкале CVSS) и связана с небезопасной десериализацией¹ в Java. Ошибка может позволить удаленному злоумышленнику выполнить произвольный код в системе. Для эксплуатации уязвимости атакующий должен отправить специально созданный нелегитимный запрос, будучи аутентифицированным в системе (достаточно минимальных привилегий).

«Как и в случае с CVE-2020-4529 — другой уязвимостью в IBM Maximo, для эксплуатации CVE-2020-4521 атакующий может иметь низкие привилегии и уровень доступа рядового оператора — например, кладовщика, который удаленно подключается к системе и заносит позиции в базу, — объясняет Андрей Медов. — Атакующий отправляет на сервер специально подготовленный Java-объект в сериализованном виде. Из-за небезопасного механизма десериализации этот объект можно восстановить на сервере из последовательности байтов и использовать в атаке. При успешной эксплуатации уязвимости злоумышленник получит возможность удаленного выполнения кода и полного контроля над веб-приложением IBM Maximo, что может быть использовано для доступа к корпоративной и технологической сетям предприятия. Возможность дальнейшего развития атаки зависит от конкретной конфигурации системы и наличия других уязвимостей».

Проблема затрагивает также специализированные отраслевые решения, реализованные на базе 7.6.0 и 7.6.1 версий системы: Maximo for Aviation, Maximo for Life Sciences, Maximo for Nuclear Power, Maximo for Oil and Gas, Maximo for Transportation, Maximo for Utilities, а также продукты SmartCloud Control Desk, IBM Control Desk и Tivoli Integration Composer.

Для устранения уязвимости необходимо обновить IBM Maximo Asset Management и связанные с этой системой решения и продукты до последних версий в соответствии с рекомендациями производителя.

 

  1. Десериализация — процесс восстановления объекта из последовательности байтов.