Команда анализа защищенности веб-приложений BI.ZONE во время проведения тестирования red team обнаружила пять уязвимостей в версии 2019.2.3 платформы Websoft HCM (ранее — WebTutor).
Система предназначена для создания корпоративных HR-порталов и автоматизации бизнес-процессов, связанных с управлением персоналом.
Команда BI.ZONE оперативно связалась с разработчиком системы — компанией WebSoft. Итогом взаимодействия команд стал выпуск обновления, в котором разработчики исправили уязвимость нулевого дня. Остальные четыре уязвимости были исправлены ранее и не являлись эксплуатируемыми в актуальной версии ПО. BI.ZONE обратилась во ФСТЭК России для регистрации всех уязвимостей в Банке данных угроз безопасности информации: BDU:2024-00878, BDU:2023-08666, BDU:2024-00755, BDU:2024-00756, BDU:2024-00757.
BI.ZONE обеспечила безопасность своих клиентов: команда BI.ZONE CPT доработала настройки сканеров для мониторинга уязвимостей в инфраструктуре компаний, а команда BI.ZONE WAF создала правила для защиты от эксплуатации брешей. Это также поможет детектировать обнаруженные уязвимости в BI.ZONE TDR.
BDU:2024-00878 — 9,9 из 10 баллов по шкале CVSS
Критическая уязвимость нулевого дня позволяет аутентифицированным пользователям выполнять произвольные команды в системе. Таким образом атакующий, который имеет доступ к учетной записи пользователя, может получить полный доступ к серверу. Это позволяет получить доступ к конфиденциальным данным и информации о сотрудниках, а также дает возможность развития атаки во внутренней сети. Уязвимость актуальна для версий до 2023.1.827.
BDU:2024-00755 — 9,9 из 10 баллов по шкале CVSS
Уязвимость аналогична предыдущей по наносимому организациям урону. Она позволяет злоумышленнику внедрить произвольный код, который будет выполнен веб-приложением. Но в отличие от BDU:2024-00878, эта уязвимость затрагивает только старые версии продукта — до 2022.1.3.451 (Websoft HCM).
BDU:2023-08666 — 7,5 из 10 баллов по шкале CVSS
Уязвимость позволяет злоумышленникам создать новую учетную запись пользователя, даже если у них нет достаточных привилегий. При совместной эксплуатации BDU:2023-08666 с BDU:2024-00755 или BDU:2024-00878 атакующие могут захватить сервер жертвы без учетной записи в системе. Уязвимость актуальна для всех версий до 2020.4.3 (266) REL (Websoft HCM).
BDU:2024-00756 — 7,5 из 10 баллов по шкале CVSS
Уязвимость может быть использована для чтения файлов, которые хранятся в файловой системе веб-сервера. Уязвимость возникает в случаях, когда приложение использует недоверенные пользовательские данные в качестве пути к запрашиваемому файлу без проведения необходимых проверок. Уязвимости подвержены версии продукта до 2022.1.3.451. (Websoft HCM).
BDU:2024-00757 — 5,4 из 10 баллов по шкале CVSS
Уязвимость может использоваться для выполнения произвольного вредоносного кода в контексте браузера жертвы. Для проведения атаки необходимо спровоцировать жертву перейти по специальной ссылке. В результате у атакующего появляется возможность менять содержимое отображаемых веб-страниц, перехватывать сессии пользователя, а также выполнять запросы от его имени. Уязвимость затрагивает версии до 2022.1.3.451 (Websoft HCM).
Уязвимости BDU:2023-08666, BDU:2024-00756 и BDU:2024-00757 могут быть проэксплуатированы внешним атакующим без учетной записи в системе. Для тех организаций, которые используют Websoft HCM во внутреннем периметре, наиболее опасными остаются уязвимости BDU:2024-00755 и BDU:2024-00878, эксплуатация которых возможна от имени пользователя системы.
Несмотря на то, что разработчик уже выпустил обновление, не все компании готовы оперативно переходить на новую версию продукта. Для таких организаций эксперты BI.ZONE WAF разработали точечные правила защиты от атак с эксплуатацией уязвимости. Они не нарушают функциональность веб-приложений и могут быть включены без дополнительного профилирования.
Проверить системы сетевого периметра на наличие уязвимостей поможет BI.ZONE CPT. Для этого специалисты разработали специальные правила сканирования, позволяющие проводить мониторинг системы на наличие выявленных ошибок безопасности.
Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE, говорит: «Уязвимости обнаружила команда BI.ZONE под руководством Дениса Погонина, старшего специалиста отдела анализа защищенности приложений. Сразу после этого мы передали информацию смежным подразделениям. Сообща начали оперативную работу над правилами обнаружения уязвимостей и блокирования атак с их эксплуатацией. Мы автоматически применили созданные правила для наших клиентов еще до появления в публичном доступе информации об уязвимостях. Именно благодаря слаженной работе отделов внутри компании BI.ZONE быстро реагирует на угрозы и защищает от них клиентов».
О компании
BI.ZONE — компания по управлению цифровыми рисками, помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 500 клиентов в 15 странах мира.