| Разработчики: | General Electric (GE) |
| Отрасли: | Информационные технологии |
| Технологии: | ITSM - Системы управления IT-службой |
2019: Вшитые учетные данные и баги утечки данных
7 мая 2019 года стало известно, что в решении GE Communicator, используемом для конфигурации измерителей мощности General Electric, выявлен ряд уязвимостей, в том числе наличие вшитых учетных данных и баги утечки информации.
Проблемы предоставляют возможность получить права администратора на рабочей станции, использующей ПО GE Communicator, однако их эксплуатация требует либо наличия сетевого доступа к станции (и настройкам межсетевого экрана Windows), либо локального доступа с привилегиями обычного пользователя. Удаленная эксплуатация также возможна, но маловероятна, поскольку ПО, как правило, работает на устройствах, где службы не открыты напрямую.
В общей сложности в решении выявлено пять уязвимостей. Одна из них (CVE-2019-6548) связана с наличием двух аккаунтов с встроенными учетными данными, с помощью которых атакующий может перехватить контроль над базой данных приложения. Согласно предупреждению команды ICS-CERT, эксплуатация уязвимости может быть предотвращена, если установлены дефолтные настройки межсетевого экрана Windows.
Уязвимости CVE-2019-6546 и CVE-2019-6564 позволяют пользователю без прав администратора поместить вредоносный файл в папку установки и получить права администратора во время процесса инсталляции или обновления либо, внедрив специально сформированный файл в рабочую папку, манипулировать виджетами и элементами интерфейса.
Еще одна проблема (CVE-2019-6566) предоставляет возможность повысить привилегии путем замены деинсталлятора GE Communicator вредоносным файлом. Наконец, последний баг (CVE-2019-6544) затрагивает службу, работающую с системными привилегиями. Атакующий с низкими привилегиями может воспользоваться уязвимостью для выполнения определенных административных действий, например, запустить запланированные скрипты с привилегиями администратора.Российский рынок BPM-систем: оценки, лидеры, тренды и перспективы. Обзор TAdviser 
Уязвимости затрагивают версии GE Communicator (компоненты Communicator Installer, Communicator Application, Communicator PostGreSQL, Communicator MeterManager, Communicator WISE Uninstaller) до 4.0.517. Исправленные версии продукта доступны на сайте производителя[1].
Примечания
Подрядчики-лидеры по количеству проектов
Naumen (Наумен консалтинг) (339) Softline (Софтлайн) (103) Okdesk (Облачные Решения) (51) Деснол, Desnol (Деснол Софт Проджект) (40) Террасофт (Terrasoft, ТС-Консалтинг) (38) Другие (671) Naumen (Наумен консалтинг) (18) Elma (Элма) (11) SimpleOne (Симпл 1) (10) Softline (Софтлайн) (3) Медиа-Тел (Media-Tel), ранее Devoteam Russia (2) Другие (14) Naumen (Наумен консалтинг) (10) Elma (Элма) (5) SimpleOne (Симпл 1) (5) Деснол, Desnol (Деснол Софт Проджект) (4) Интеллектуальная безопасность ГК (бренд Security Vision) (2) Другие (22)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Naumen (Наумен консалтинг) (8, 418) Microsoft (14, 108) OmniNet (ОмниНет) (4, 55) Смартнат (1, 53) Okdesk (Облачные Решения) (1, 52) Другие (632, 601) Naumen (Наумен консалтинг) (5, 27) Elma (Элма) (1, 11) SimpleOne (Симпл 1) (1, 10) Смартнат (1, 9) Деснол, Desnol (Деснол Софт Проджект) (2, 2) Другие (9, 11) Naumen (Наумен консалтинг) (4, 16) SimpleOne (Симпл 1) (1, 8) Деснол, Desnol (Деснол Софт Проджект) (2, 5) Elma (Элма) (1, 5) Смартнат (1, 4) Другие (14, 17) Naumen (Наумен консалтинг) (3, 15) Elma (Элма) (1, 9) Okdesk (Облачные Решения) (1, 8) SimpleOne (Симпл 1) (1, 5) Деснол, Desnol (Деснол Софт Проджект) (1, 4) Другие (18, 26) Okdesk (Облачные Решения) (1, 1) Ростелеком (1, 1) РТК-ЦОД (Центр Хранения Данных, ЦХД) ранее Ростелеком-ЦОД (1, 1) КСК Технологии (1, 1) РТК ИТ Плюс (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Naumen Service Desk - 295 ITSM365.ru - 53 Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 52 OmniTracker - 41 Service Desk Итилиум - 33 Другие 671 ELMA365 Service - 11 SimpleOne ITSM (IT Service Management) - 10 ITSM365.ru - 9 Naumen Service Desk - 7 КСК.Service Desk (KCK.SD) - 2 Другие 12 SimpleOne ITSM (IT Service Management) - 8 Naumen Service Desk - 7 ELMA365 Service - 5 ITSM365.ru - 4 1С:Itilium - 3 Другие 17 
