12 февраля 2018

В популярной системе электронного документооборота обнаружены множественные уязвимости

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) выявил множественные уязвимости в веб-приложении Saperion Web Client, разработчиком которого является компания Kofax. Выявленные уязвимости относятся к следующим типам:

Уязвимый продукт широко используется для ведения электронного документооборота в различных бизнес- и государственных структурах: крупная и малая автоматизация (АСУ ТП), финансовые организации, банковские структуры, телекоммуникационные компании и т.д. Уязвимый продукт может быть доступен из интернета.

Уязвимое веб-приложение Saperion Web Client открывает порт 443/tcp с веб-сервисом пользователя СЭДО. Удаленный злоумышленник может прочитать произвольные файлы с файловой системы, после чего, также удаленно, выполнить произвольный код в системе.

Kaspersky Lab ICS CERT сообщил об уязвимостях производителю, однако тот отказался выпустить исправление для выявленных уязвимостей в связи с тем, что уязвимости не эксплуатируются на более поздних версиях.

Чтобы снизить риск эксплуатации уязвимостей, Kaspersky Lab ICS CERT рекомендует использовать систему обнаружения вторжений и специализированные системы для защиты сетевого периметра в промышленных сетях, внедрить средства защиты веб-серверов и приложений (web application firewall), ограничить доступность уязвимого веб-приложения из интернета или же из смежных по отношению к АСУ ТП сетей.