Пароль и полный доступ. Брешь в iTop позволяла хакерам взять под контроль всю IT-инфраструктуру

Эксперт PT SWARM Максим Ильин помог устранить опасную уязвимость в опенсорсном веб-приложении iTop, которое используется для автоматизации управления IT-инфраструктурой и поддержания бесперебойной работы сервисов. Если бы эта брешь осталась незакрытой, атакующий мог бы удаленно выполнять команды в операционной системе, получить доступ во внутреннюю инфраструктуру компании и продолжить перемещение по сети. Разработчик проекта был своевременно уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление безопасности.

Уязвимость PT-2025-46182 (CVE-2025-47286, BDU:2025-06926) затронула версии iTop ниже 2.7.13 и 3.2.2 соответственно. Оценка 8,6 из 10 по шкале CVSS 4.0 соответствует высокому уровню опасности. Для успешной атаки злоумышленнику было достаточно получить пароль учетной записи с административными правами. После этого он мог удаленно выполнить произвольный код и потенциально получить доступ к внутренней инфраструктуре и данным компании.

Чтобы устранить проблему, разработчики рекомендуют как можно скорее обновить iTop до версии не ниже 2.7.13 или 3.2.2. Если по каким-то причинам установить исправление не удается, эксперт Positive Technologies советует убрать систему с внешнего периметра организации, сменить пароли сотрудников на более сложные и включить многофакторную аутентификацию. Эти меры снижают риск несанкционированного доступа, даже если пароль будет компрометирован.

iTop остается востребованным инструментом: приложением интересуются на GitHub, где его добавили в избранное почти тысяча пользователей, а репозиторий форкнули более 250 раз. Это значит, что уязвимость потенциально могла затронуть значительное число внедрений по всему миру.

Для эксплуатации бреши атакующему прежде всего требовалось получить административный доступ к установленному iTop. Теоретически он мог подобрать логин и пароль администратора или найти систему, где приложение было развернуто не до конца. Во втором случае нарушитель мог сам завершить установку и задать пароль администратора. Имея повышенные привилегии, он получал возможность запустить процедуру резервного копирования и на этом этапе выполнить произвольный код.

«Успешная эксплуатация этой уязвимости позволила бы атакующему получить первоначальный доступ к внутренней инфраструктуре компании или продвинуться дальше по сети, — пояснил Максим Ильин, специалист отдела тестирования на проникновение Positive Technologies. — Оказавшись в корпоративном сегменте, злоумышленник получил бы доступ к конфиденциальным данным организации. В дальнейшем он мог бы, к примеру, зашифровать чувствительную информацию и потребовать выкуп».

Positive Technologies и iTop уже выстроили взаимодействие по вопросам ответственного разглашения уязвимостей в рамках своих политик. Такое партнерство показывает, как совместная работа исследователей и вендоров помогает повышать защищенность IT-решений и сокращать время от обнаружения проблемы до ее исправления.

Снизить риск эксплуатации уязвимости и выполнения произвольного кода помогают средства защиты класса EDR, такие как MaxPatrol EDR. Обнаружив подозрительную активность, продукт сформирует оповещение в MaxPatrol SIEM и помешает атакующему развить атаку. Для поиска подобных уязвимостей в программном коде пригодятся статические и динамические анализаторы, например PT Application Inspector и PT BlackBox. Для блокировки попыток эксплуатации на периметре рекомендуется использовать межсетевые экраны уровня веб-приложений, в частности PT Application Firewall, а также его облачную версию PT Cloud Application Firewall.

Оставаться в курсе актуальных уязвимостей и связанных с ними рекомендаций по устранению помогают данные портала dbugs, который аккумулирует информацию о проблемах безопасности в программном обеспечении и оборудовании производителей из разных стран.