Эксперт Positive Technologies обнаружил в CRM-системе ASoft уязвимость, позволяющую получить доступ к конфиденциальной информации на сервере — проектам компании, клиентской базе, списку контрагентов.
Система CRM разработки ASoft (АСофт) применяется в таких сферах, как маркетинг, финансы, образование, логистика. По итогам 2020 года производитель вошел в десятку крупнейших вендоров таких решений на российском рынке.
Выявленная уязвимость классифицируется как выход за пределы рабочего каталога и оценена как очень опасная (7,5 балла по шкале CVSS 3.0). Причиной ее появления является несовершенство механизмов безопасности; эксплойт позволяет обойти ограничения и просматривать файлы в любом местоположении.
«CRM-система — один из самых важных для компании продуктов, так как в ней могут содержаться данные о коммерческой и операционной деятельности предприятия, — комментирует автор опасной находки Ариан Рахими. — Кроме того, в ряде случаев CRM-система (в частности, ASoft CRM) может работать с правами суперпользователя, что позволяет прочитать файл с зашифрованными паролями, расшифровать пароль суперпользователя и получить максимальные привилегии на узле. Злоумышленник в подобной ситуации потенциально смог бы не только прочитать или изменить всю информацию в системе, но и развить атаку в корпоративной сети на другие ключевые элементы инфраструктуры».
Уязвимость была обнаружена в ASoft CRM 2.6; патч включен в состав сборки 27.98, которую всем пользователям рекомендуется установить: подобные ошибки разработчиков провоцируют утечки. Снизить риск эксплуатации поможет использование межсетевого экрана уровня веб-приложений — такого, как PT Application Firewall.
