BI.ZONE сообщила о пяти уязвимостях в системе для создания корпоративных HR-порталов

  

5 Февраль 2024 (12:28)

BI.ZONE сообщила о пяти уязвимостях в системе для создания корпоративных HR-порталов

Команда анализа защищенности веб-приложений BI.ZONE во время проведения тестирования red team для одного из заказчиков обнаружила пять уязвимостей в версии 2019.2.3 платформы Websoft HCM (ранее — WebTutor), сообщает компания в понедельник.

Система предназначена для создания корпоративных HR-порталов и автоматизации бизнес-процессов, связанных с управлением персоналом.

Как говорится в сообщении, команда BI.ZONE оперативно связалась с разработчиком системы — компанией WebSoft. Итогом взаимодействия команд стал выпуск обновления, в котором разработчики исправили уязвимость нулевого дня. Остальные четыре уязвимости были исправлены ранее и не являлись эксплуатируемыми в актуальной версии ПО. BI.ZONE обратилась во ФСТЭК России для регистрации всех уязвимостей в Банке данных угроз безопасности информации: BDU:2024-00878, BDU:2023-08666, BDU:2024-00755, BDU:2024-00756, BDU:2024-00757.

BI.ZONE обеспечила безопасность своих клиентов: команда BI.ZONE CPT доработала настройки сканеров для мониторинга уязвимостей в инфраструктуре компаний, а команда BI.ZONE WAF создала правила для защиты от эксплуатации брешей. Это также поможет детектировать обнаруженные уязвимости в рамках сервиса BI.ZONE TDR.

BDU:2024-00878 — 9,9 из 10 баллов по шкале CVSS

Критическая уязвимость нулевого дня позволяет аутентифицированным пользователям выполнять произвольные команды в системе. Таким образом, атакующий, который имеет доступ к учетной записи пользователя, может получить полный доступ к серверу. Это позволяет получить доступ к конфиденциальным данным и информации о сотрудниках, а также дает возможность развития атаки во внутренней сети. Уязвимость актуальна для версий до 2023.1.827.

BDU:2024-00755 — 9,9 из 10 баллов по шкале CVSS

Уязвимость аналогична предыдущей по наносимому организациям урону. Она позволяет злоумышленнику внедрить произвольный код, который будет выполнен веб-приложением. Но в отличие от BDU:2024-00878, эта уязвимость затрагивает только старые версии продукта — до 2022.1.3.451 (Websoft HCM).

BDU:2023-08666 — 7,5 из 10 баллов по шкале CVSS

Уязвимость позволяет злоумышленникам создать новую учетную запись пользователя, даже если у них нет достаточных привилегий. При совместной эксплуатации BDU:2023-08666 с BDU:2024-00755 или BDU:2024-00878 атакующие могут захватить сервер жертвы без учетной записи в системе. Уязвимость актуальна для всех версий до 2020.4.3 (266) REL (Websoft HCM).

BDU:2024-00756 — 7,5 из 10 баллов по шкале CVSS

Уязвимость может быть использована для чтения файлов, которые хранятся в файловой системе веб-сервера. Уязвимость возникает в случаях, когда приложение использует недоверенные пользовательские данные в качестве пути к запрашиваемому файлу без проведения необходимых проверок. Уязвимости подвержены версии продукта до 2022.1.3.451. (Websoft HCM).

BDU:2024-00757 — 5,4 из 10 баллов по шкале CVSS

Уязвимость может использоваться для выполнения произвольного вредоносного кода в контексте браузера жертвы. Для проведения атаки необходимо спровоцировать жертву перейти по специальной ссылке. В результате у атакующего появляется возможность менять содержимое отображаемых веб-страниц, перехватывать сессии пользователя, а также выполнять запросы от его имени. Уязвимость затрагивает версии до 2022.1.3.451 (Websoft HCM).

Уязвимости BDU:2023-08666, BDU:2024-00756 и BDU:2024-00757 могут быть проэксплуатированы внешним атакующим без учетной записи в системе. Для тех организаций, которые используют Websoft HCM во внутреннем периметре, наиболее опасными остаются уязвимости BDU:2024-00755 и BDU:2024-00878, эксплуатация которых возможна от имени пользователя системы.

Несмотря на то, что разработчик уже выпустил обновление, не все компании готовы оперативно переходить на новую версию продукта. Для таких организаций эксперты BI.ZONE WAF разработали точечные правила защиты от атак с эксплуатацией уязвимости. Они не нарушают функциональность веб-приложений и могут быть включены без дополнительного профилирования.

Проверить системы сетевого периметра на наличие уязвимостей поможет BI.ZONE CPT. Для этого специалисты разработали специальные правила сканирования, позволяющие проводить мониторинг системы на наличие выявленных ошибок безопасности.