Уязвимость позволяет неавторизованным пользователям проводить удаленное исполнение команд ОС на сервере мониторинга при отправке запросов с главной веб-страницы решения, что может привести к компрометации сервера мониторинга.
«Уязвимое приложение выполняет внедренные злоумышленником команды в принимающей̆ их операционной̆ системе и позволяет в отдельных случаях полностью скомпрометировать систему, а также обойти средства защиты, применяемые в организации для предотвращения несанкционированного доступа во внутреннюю сеть. CVE-2020-24032 может стать отличным плацдармом для дальнейшего развития атаки на внутреннюю сеть.
До устранения уязвимости производителем специалисты «Инфосистемы Джет» рекомендуют ограничить доступ к сценарию /cgi-bin/tz.pl наложенными средствами либо временно ограничить доступ к веб-панели на сетевом уровне.
LPAR2RRD и STOR2RRD Virtual Appliance — программное обеспечение c открытым исходным кодом для мониторинга серверной инфраструктуры и систем хранения данных от чешской компании Xorux. Согласно информации на сайте производителя, данными решениями пользуются финансовые компании, государственные организации, ИТ- и телеком-компании, предприятия сферы энергетики, а также организации в области здравоохранения.
Большой брат следит за вами, но мы знаем, как остановить его. Подпишитесь на наш канал!