GE Communicator dasturida bir nechta zaifliklar aniqlandi
Qattiq kodlangan hisob ma’lumotlaridan foydalanib, tajovuzkor dastur ma’lumotlar bazasini nazorat qilishi mumkin.
General Electric quvvat hisoblagichlarini sozlash uchun ishlatiladigan GE Communicator yechimida bir nechta zaifliklar aniqlangan, jumladan, qattiq kodlangan hisob ma’lumotlari va ma’lumotlarning oqishidagi xatolar. Ushbu zaifliklar GE Communicator ishlaydigan ish stantsiyasida administrator imtiyozlarini olish imkonini beradi, ammo ekspluatatsiya qilish ish stantsiyasiga tarmoq orqali kirishni (va Windows xavfsizlik devori sozlamalarini) yoki standart foydalanuvchi imtiyozlari bilan mahalliy kirishni talab qiladi. Masofaviy ekspluatatsiya ham mumkin, ammo ehtimoldan yiroq, chunki dasturiy ta’minot odatda xizmatlar to’g’ridan-to’g’ri ta’sir qilmaydigan qurilmalarda ishlaydi.
Yechimda jami beshta zaiflik aniqlandi. Ulardan biri (CVE-2019-6548) o’rnatilgan hisobga olish ma’lumotlariga ega ikkita hisobni o’z ichiga oladi, bu esa tajovuzkorga dastur ma’lumotlar bazasini nazorat qilish imkonini beradi. ICS-CERT jamoasining ogohlantirishiga ko’ra, ushbu zaiflikdan foydalanishning oldini olish uchun standart Windows xavfsizlik devori sozlamalaridan foydalanish mumkin.
CVE-2019-6546 va CVE-2019-6564 zaifliklari administrator huquqiga ega bo’lmagan foydalanuvchiga o’rnatish papkasiga zararli faylni joylashtirish va o’rnatish yoki yangilash jarayonida administrator huquqlarini olish yoki ishchi papkaga maxsus yaratilgan faylni kiritish orqali vidjetlar va interfeys elementlarini boshqarish imkonini beradi.
Yana bir muammo (CVE-2019-6566) GE Communicator o’chiruvchisini zararli fayl bilan almashtirish orqali imtiyozlarni oshirishga imkon beradi. Nihoyat, oxirgi xato (CVE-2019-6544) tizim imtiyozlari bilan ishlaydigan xizmatga ta’sir qiladi. Past imtiyozlarga ega bo’lgan tajovuzkor ushbu zaiflikdan ma’lum ma’muriy harakatlarni bajarish uchun, masalan, administrator imtiyozlari bilan rejalashtirilgan skriptlarni ishga tushirish uchun foydalanishi mumkin.
Zaifliklar 4.0.517 dan oldingi GE Communicator versiyalariga (Communicator Installer, Communicator Application, Communicator PostGreSQL, Communicator MeterManager va Communicator WISE Uninstaller komponentlari) ta’sir qiladi. Mahsulotning yamalgan versiyalari ishlab chiqaruvchining veb-saytida mavjud.
