Positive Technologies помогла укрепить защиту системы управления ИТ-инфраструктурой iTop

Специалисты Positive Technologies способствовали повышению уровня безопасности системы управления ИТ-инфраструктурой iTop. Максим Ильин, эксперт PT SWARM, выявил и помог устранить уязвимость в опенсорсном веб-приложении iTop. Это приложение предназначено для автоматизации управления ИТ-инфраструктурой и обеспечения стабильной работы сервисов. Если бы злоумышленник воспользовался этой уязвимостью, он мог бы удалённо выполнять команды в операционной системе, что позволило бы ему проникнуть во внутреннюю инфраструктуру компании или перемещаться по сети. Разработчик проекта был проинформирован об угрозе в соответствии с политикой ответственного разглашения и выпустил обновление для устранения уязвимости. Уязвимость PT-2025-46182 (CVE-2025-47286, BDU:2025-06926) была оценена в 8,6 балла из 10 по шкале CVSS 4.0, что указывает на высокий уровень угрозы. Она затрагивала версии iTop младше 2.7.13 и 3.2.2 соответственно. Для успешной атаки злоумышленнику было достаточно подобрать пароль пользователя с административными правами, чтобы удалённо выполнить произвольный код. Для устранения уязвимости рекомендуется как можно скорее обновить веб-приложение iTop до версии не ниже 2.7.13 или 3.2.2. Если обновление не удаётся загрузить, эксперт Positive Technologies рекомендует изъять систему с внешнего периметра организации, заменить пароли сотрудников на сложные и включить многофакторную аутентификацию. Эти меры помогут снизить риск несанкционированного доступа к системе. Приложение iTop пользуется популярностью: оно добавлено в избранное почти 1 тыс. пользователей и имеет более 250 копий репозитория на веб-сервисе GitHub. Чтобы воспользоваться уязвимостью, злоумышленнику нужно было установить административный доступ к программному обеспечению iTop. Он мог подобрать логин и пароль пользователя или найти систему, в которой приложение установлено не до конца. Во втором случае нарушитель мог бы сам завершить установку и назначить пароль администратора. Получив повышенные привилегии, атакующий мог запустить процедуру резервного копирования, в процессе которой мог выполнить произвольный код. «Успешная эксплуатация уязвимости могла бы позволить атакующему получить начальный доступ к внутренней инфраструктуре компании либо помочь в продвижении по ней, — отметил Максим Ильин, специалист отдела тестирования на проникновение Positive Technologies. — Оказавшись в корпоративном сегменте внутренней сети, злоумышленник получил бы доступ к конфиденциальным данным организации. Впоследствии нарушитель гипотетически мог зашифровать чувствительную информацию, чтобы потребовать выкуп». Positive Technologies и iTop сотрудничают по вопросам ответственного разглашения найденных уязвимостей в рамках собственных политик. Средства защиты информации класса EDR, такие как MaxPatrol EDR, могут помочь снизить риски выполнения произвольного кода в системе.