Десериализация Java
SolarWinds, разработчик промышленного программного обеспечения для управления сетями, системами и инфраструктурой, выпустил экстренный патч к критической уязвимости в пакете Web Help Desk. Данная уязвимость допускала запуск произвольного кода на уязвимых инсталляциях.
Уязвимость CVE-2024-28986 (9,8 балла по шкале CVSS) относится к разновидности ошибок десериализации. Программное обеспечение передает потоки данных, как между своими компонентами, так и в другое ПО, базы данных, файловые системы и различные веб-службы. Часто это происходит посредством сериализации – перевода структуры данных в последовательность байтов, и десериализации – наоборот, создания структуры данных из последовательности байтов. Отсутствие или недостаточная проверка этих данных может стать серьезной уязвимостью, ее называют «небезопасная десериализация».
Уязвимость небезопасной десериализации актуальна для большинства популярных языков, таких как Java, C#, C/C++, Python, Ruby, ASP.NET, PHP. Обычно в современных библиотеках, как встроенных в ядро языка, так и сторонних, присутствуют различные механизмы по устранению этой уязвимости. Но на деле разработчики часто забывают ими воспользоваться или недостаточно прорабатывают исходный код.
В данном случае речь идет как раз об ошибке в Java.
Защиты много не бывает
В бюллетене SolarWinds указывается, что данная ошибка позволяет запускать произвольные команды на хосте.
Любопытно, что экспертам SolarWinds не удалось воспроизвести атаку без предварительной аутентификации в уязвимой системе, хотя обнаружившие уязвимость неназванные эксперты заявили, что эксплуатация возможна и без предварительной авторизации.
«Исходя из принципа избыточной предосторожности, мы рекомендуем всем пользователям Web Help Desk установить доступное в настоящий момент обновление», – указывается в публикации компании.
«Вне зависимости от того, можно ли эксплуатировать уязвимость без авторизации или нет, компания SolarWinds теперь вынуждена демонстрировать следование принципу «осторожность не бывает избыточной», – говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Недостатки в защите мониторингового ПО Orion в 2019-2020 гг. обошлись чрезвычайно дорого не только самой SolarWinds, но тысячам других организаций, в том числе крупнейшим ИТ-гигантам и госучреждениям США. Эта атака вошла в историю и до сих пор аукается SolarWinds».
Уязвимость затрагивает все версии SolarWinds Web Help Desk до версии 12.8.3 включительно. Исправления внесены хотфиксом 12.8.3 HF 1.
Поделиться