Эксперт PT SWARM помог устранить уязвимость в опенсорсном веб-приложении iTop, предназначенном для автоматизации управления ИТ-инфраструктурой и обеспечения бесперебойной работы сервисов. Эксплуатация бреши могла бы позволить атакующему удалённо выполнять команды в ОС и впоследствии проникнуть во внутреннюю инфраструктуру компании или продолжить перемещение по сети.
Выявленная уязвимость (PT-2025-46182/CVE-2025-47286) оценена в 8,6 балла из десяти по шкале CVSS 4.0, что соответствует высокому уровню угрозы. Для успешной атаки злоумышленнику достаточно было бы подобрать пароль пользователя с административными правами, после чего он смог бы удалённо выполнить произвольный код. Брешь потенциально открывала нарушителю доступ к внутренней инфраструктуре и корпоративным данным.
iTop пользуется спросом: приложение добавлено в избранное почти 1000 пользователей и имеет более 250 копий репозитория на веб-сервисе GitHub. Чтобы воспользоваться уязвимостью, злоумышленнику предварительно потребовалось бы установить административный доступ к ПО iTop. Гипотетически он мог подобрать логин и пароль или найти систему, в которой приложение установлено не до конца. Во втором случае хакер имел бы шанс сам завершить установку и назначить пароль администратора. А завладев повышенными привилегиями — запустить процедуру резервного копирования и выполнить произвольный код.
«Успешная эксплуатация уязвимости могла бы позволить атакующему получить начальный доступ к внутренней инфраструктуре компании либо помочь в продвижении по ней, — рассказал Максим Ильин, специалист отдела тестирования на проникновение Positive Technologies. — Оказавшись в корпоративном сегменте внутренней сети, злоумышленник получил бы доступ к конфиденциальным данным организации. Впоследствии нарушитель гипотетически мог зашифровать чувствительную информацию, чтобы потребовать выкуп».
Positive Technologies и iTop сотрудничают по вопросам ответственного разглашения найденных уязвимостей в рамках собственных политик. Такое партнёрство является примером эффективного взаимодействия между исследователями безопасности и вендорами для повышения защищенности ИТ-решений.
Усам Оздемиров
