Мы выявили пять уязвимостей в Websoft HCM
Команда анализа защищенности веб‑приложений BI.ZONE во время проведения тестирования red team для одного из заказчиков обнаружила пять уязвимостей в версии 2019.2.3 платформы Websoft HCM (ранее — WebTutor). Система предназначена для создания корпоративных HR‑порталов и автоматизации бизнес‑процессов, связанных с управлением персоналом.
Команда BI.ZONE оперативно связалась с разработчиком системы — компанией WebSoft. Итогом взаимодействия команд стал выпуск обновления, в котором разработчики исправили уязвимость нулевого дня. Остальные четыре уязвимости были исправлены ранее и не являлись эксплуатируемыми в актуальной версии ПО. BI.ZONE обратилась во ФСТЭК России для регистрации всех уязвимостей в Банке данных угроз безопасности информации: BDU:2024‑00878, BDU:2023‑08666, BDU:2024‑00755, BDU:2024‑00756, BDU:2024‑00757.
BDU:2024‑00878 — 9,9 из 10 баллов по шкале CVSS
Критическая уязвимость нулевого дня позволяет аутентифицированным пользователям выполнять произвольные команды в системе. Таким образом, атакующий, который имеет доступ к учетной записи пользователя, может получить полный доступ к серверу. Это позволяет получить доступ к конфиденциальным данным и информации о сотрудниках, а также дает возможность развития атаки во внутренней сети. Уязвимость актуальна для версий до 2023.1.827.
BDU:2024‑00755 — 9,9 из 10 баллов по шкале CVSS
Уязвимость аналогична предыдущей по наносимому организациям урону. Она позволяет злоумышленнику внедрить произвольный код, который будет выполнен веб‑приложением. Но в отличие от BDU:2024-00878, эта уязвимость затрагивает только старые версии продукта — до 2022.1.3.451 (Websoft HCM).
BDU:2023‑08666 — 7,5 из 10 баллов по шкале CVSS
Уязвимость позволяет злоумышленникам создать новую учетную запись пользователя, даже если у них нет достаточных привилегий. При совместной эксплуатации BDU:2023‑08666 с BDU:2024-00755 или BDU:2024-00878 атакующие могут захватить сервер жертвы без учетной записи в системе. Уязвимость актуальна для всех версий до 2020.4.3 (266) REL (Websoft HCM).
BDU:2024‑00756 — 7,5 из 10 баллов по шкале CVSS
Уязвимость может быть использована для чтения файлов, которые хранятся в файловой системе веб‑сервера. Уязвимость возникает в случаях, когда приложение использует недоверенные пользовательские данные в качестве пути к запрашиваемому файлу без проведения необходимых проверок. Уязвимости подвержены версии продукта до 2022.1.3.451. (Websoft HCM).
BDU:2024‑00757 — 5,4 из 10 баллов по шкале CVSS
Уязвимость может использоваться для выполнения произвольного вредоносного кода в контексте браузера жертвы. Для проведения атаки необходимо спровоцировать жертву перейти по специальной ссылке. В результате у атакующего появляется возможность менять содержимое отображаемых веб‑страниц, перехватывать сессии пользователя, а также выполнять запросы от его имени. Уязвимость затрагивает версии до 2022.1.3.451 (Websoft HCM).
Уязвимости BDU:2023‑08666, BDU:2024‑00756 и BDU:2024‑00757 могут быть проэксплуатированы внешним атакующим без учетной записи в системе. Для тех организаций, которые используют Websoft HCM во внутреннем периметре, наиболее опасными остаются уязвимости BDU:2024‑00755 и BDU:2024‑00878, эксплуатация которых возможна от имени пользователя системы.
Несмотря на то что разработчик уже выпустил обновление, не все компании готовы оперативно переходить на новую версию продукта. Для таких организаций эксперты BI.ZONE WAF разработали точечные правила защиты от атак с эксплуатацией уязвимости. Они не нарушают функциональность веб‑приложений и могут быть включены без дополнительного профилирования.
Проверить системы сетевого периметра на наличие уязвимостей поможет BI.ZONE CPT. Для этого специалисты разработали специальные правила сканирования, позволяющие проводить мониторинг системы на наличие выявленных ошибок безопасности.