Киберэксперт Полунин: уязвимость Meteobridge — следствие проблем «коробочных» решений

В веб-интерфейсе Meteobridge обнаружена критическая уязвимость (CVE-2023-35098), позволяющая хакерам выполнять произвольные команды на устройстве. Проблема связана с отсутствием проверки входных данных, что открывает возможность для инъекции команд через специально сформированный HTTP-запрос. Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин отмечает, что подобные уязвимости часто встречаются в «коробочных» решениях.

Уязвимость затрагивает все версии Meteobridge до 2.2.1. Необходимо как можно скорее обновить ПО до последней версии.

«Десять лет назад на конференциях говорили, что "HTTP — это новый TCP", подразумевая его важность. Сегодня эта фраза приобретает новый, ироничный смысл, ведь HTTP стал главной мишенью для кибератак. Это понятно, атакуют то, что популярно, но количество уязвимостей с оценкой по CVE выше 8 превышает все разумные пределы. В этот раз уязвимость нашли в очередном веб-приложении — ввод данных в очередную переменную не проверяется, что открывает возможность атакам на инъекции команд. В теории, этого можно было бы избежать, выстроив конвейер CI/CD, и в какой-то момент сканер обязательно нашел бы эту проблему. Или запускать приложение в SOC, таком как GSOC от компании "Газинформсервис", где исходный код можно было бы регулярно сканировать и искать в нём уязвимости. Но коробочные решения на то и коробочные, чтобы поставить и забыть, а значит проблема эта не исчезнет в ближайшее время», — отмечает киберэксперт.