Используя ее, злоумышленник мог получить доступ к конфиденциальной информации, хранящейся на сервере системы: проектам компаний, клиентской базе, списку контрагентов
Эксперт Positive Technologies Ариан Рахими обнаружил уязвимость в ASoft CRM — CRM-системе для управления проектами. Система позволяет оптимизировать внутренние процессы, коммуникацию с клиентами, управление маркетингом, продажами, складом и электронным документооборотом. Она применяется в сфере маркетинга, финансов, образования и логистики. По данным TAdviser, ASoft входит в десятку крупнейших вендоров CRM-систем на российском рынке.
Обнаруженная уязвимость получила идентификатор BDU:2022-04486, ей был присвоен высокий уровень опасности (7,5 балла по шкале CVSS 3.0). Недостаточно проработанные механизмы безопасности в ASoft CRM позволяли злоумышленнику использовать уязвимость типа Path Traversal и выполнять чтение любого файла.
«CRM-система — один из самых важных для компании продуктов, так как в ней могут содержаться данные о коммерческой и операционной деятельности предприятия. Кроме того, в ряде случаев CRM-система (в частности, ASoft CRM) может работать с правами суперпользователя, что позволяет прочитать файл с зашифрованными паролями, расшифровать пароль суперпользователя и получить максимальные привилегии на узле. Злоумышленник в подобной ситуации потенциально смог бы не только прочитать или изменить всю информацию в системе, но и развить атаку в корпоративной сети на другие ключевые элементы инфраструктуры», — рассказал Ариан Рахими.
По словам исследователя, подобные проблемы возникают из-за некорректной валидации пути к файлу. Уязвимость позволяет атакующему выйти за пределы папки или каталога и читать файлы в произвольном местоположении.
Уязвимость была обнаружена в ASoft CRM 2.6 и устранена в следующей версии продукта. Снизить риск эксплуатации таких уязвимостей позволяет межсетевой экран уровня веб-приложений (например, PT Application Firewall).