Уязвимость CVE-2019-19119 заключается в использовании хешированного пароля в качестве аутентифицирующего фактора в некоторых обработчиках API, что позволяло получить доступ к функциональности ПО PRTG Network Monitor.
Как показывает практика, данное ПО часто устанавливается на пограничных узлах, например между доверенной и недоверенной сетями. Получив доступ к ПО, злоумышленник может извлечь подробную информацию об узлах сети и их конфигурации. Это дает ему широкие возможности для развития атаки. Также было выявлено, что используемая функция вычисления хеша пароля не является криптостойкой и ее нельзя назвать односторонним криптографическим алгоритмом вычисления хеш-функции. При этом реализованный механизм подвержен коллизиям, что позволяет найти исходный пароль или коллизию для его хеша, зная значение хеша и криптографической соли (эти значения хранятся в публичной ветви реестра ОС).
Стоит отметить, что эксперты Positive Technologies уже находили уязвимости в веб-интерфейсе данного ПО в 2018 году (CVE-2018-19203, CVE-2018-19204, CVE-2018-19410, CVE-2018-19411). Этим уязвимостям была присвоена высокая и критическая степени риска.
«Нельзя отрицать, что для бесперебойной работы современной IT-инфраструктуры сложно обходиться без программного обеспечения для ее мониторинга и контроля. Однако при оценке возможных киберугроз для предприятия вспомогательное ПО нельзя списывать со счетов: его также необходимо исследовать на наличие возможных уязвимостей, особенно если оно используется для обеспечения штатного функционирования основного направления компании, например АСУ ТП. Помимо уязвимостей в ПО PRTG Monitor во время работ по анализу защищенности АСУ ТП на проектах встречалось и другое подобное ПО WhatsUP Gold, в котором наши специалисты также находили уязвимости», — говорит руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.
Вендор в короткие сроки устранил уязвимость и уведомил своих пользователей о необходимости установки новой версии программного обеспечения, отправив соответствующие инструкции.