GE Communicator

Продукт
Разработчики: General Electric (GE)
Отрасли: Информационные технологии
Технологии: ITSM - Системы управления IT-службой

2019: Вшитые учетные данные и баги утечки данных

7 мая 2019 года стало известно, что в решении GE Communicator, используемом для конфигурации измерителей мощности General Electric, выявлен ряд уязвимостей, в том числе наличие вшитых учетных данных и баги утечки информации.

Проблемы предоставляют возможность получить права администратора на рабочей станции, использующей ПО GE Communicator, однако их эксплуатация требует либо наличия сетевого доступа к станции (и настройкам межсетевого экрана Windows), либо локального доступа с привилегиями обычного пользователя. Удаленная эксплуатация также возможна, но маловероятна, поскольку ПО, как правило, работает на устройствах, где службы не открыты напрямую.

В общей сложности в решении выявлено пять уязвимостей. Одна из них (CVE-2019-6548) связана с наличием двух аккаунтов с встроенными учетными данными, с помощью которых атакующий может перехватить контроль над базой данных приложения. Согласно предупреждению команды ICS-CERT, эксплуатация уязвимости может быть предотвращена, если установлены дефолтные настройки межсетевого экрана Windows.

Уязвимости CVE-2019-6546 и CVE-2019-6564 позволяют пользователю без прав администратора поместить вредоносный файл в папку установки и получить права администратора во время процесса инсталляции или обновления либо, внедрив специально сформированный файл в рабочую папку, манипулировать виджетами и элементами интерфейса.

Еще одна проблема (CVE-2019-6566) предоставляет возможность повысить привилегии путем замены деинсталлятора GE Communicator вредоносным файлом. Наконец, последний баг (CVE-2019-6544) затрагивает службу, работающую с системными привилегиями. Атакующий с низкими привилегиями может воспользоваться уязвимостью для выполнения определенных административных действий, например, запустить запланированные скрипты с привилегиями администратора.

Уязвимости затрагивают версии GE Communicator (компоненты Communicator Installer, Communicator Application, Communicator PostGreSQL, Communicator MeterManager, Communicator WISE Uninstaller) до 4.0.517. Исправленные версии продукта доступны на сайте производителя[1].

Примечания



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Naumen (Наумен консалтинг) (327)
  Comindware (Колловэар) (254)
  Softline (Софтлайн) (126)
  Okdesk (Облачные Решения) (40)
  Террасофт (Terrasoft, ТС-Консалтинг) (38)
  Другие (725)

  Comindware (Колловэар) (78)
  Okdesk (Облачные Решения) (14)
  Naumen (Наумен консалтинг) (11)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (7)
  Крок (3)
  Другие (28)

  Naumen (Наумен консалтинг) (14)
  Okdesk (Облачные Решения) (9)
  Comindware (Колловэар) (8)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (7)
  БизнесАвтоматика НПЦ (3)
  Другие (18)

  Naumen (Наумен консалтинг) (18)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (12)
  SimpleOne (Симпл 1) (9)
  Softline (Софтлайн) (3)
  Деснол Софт (2)
  Другие (19)

  Naumen (Наумен консалтинг) (8)
  SimpleOne (Симпл 1) (4)
  Флант (Flant) (3)
  Астра Группа компаний (3)
  Softline (Софтлайн) (2)
  Другие (16)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Naumen (Наумен консалтинг) (7, 351)
  Comindware (Колловэар) (1, 257)
  Microsoft (16, 123)
  OmniNet (ОмниНет) (4, 55)
  Террасофт (Terrasoft, ТС-Консалтинг) (4, 47)
  Другие (586, 626)

  Comindware (Колловэар) (1, 78)
  Rails Jedies
  Okdesk (Облачные Решения) (1, 14)
  Naumen (Наумен консалтинг) (3, 12)
  Nutanix (1, 9)
  Другие (18, 24)

  Naumen (Наумен консалтинг) (3, 14)
  Okdesk (Облачные Решения) (1, 10)
  Rails Jedies
  Comindware (Колловэар) (1, 8)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 7)
  Другие (11, 14)

  Naumen (Наумен консалтинг) (4, 18)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (1, 12)
  SimpleOne (Симпл 1) (1, 10)
  Деснол Софт (2, 3)
  РусБИТех-Астра (ГК Астра) (1, 3)
  Другие (9, 11)

  Naumen (Наумен консалтинг) (3, 10)
  РусБИТех-Астра (ГК Астра) (1, 6)
  SimpleOne (Симпл 1) (1, 4)
  Флант (Flant) (1, 3)
  Citeck (Ситек) (1, 1)
  Другие (11, 11)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Naumen Service Management Platform (NSMP) - 293 (9, 284)
  Comindware Business Application Platform - 257 (257, 0)
  Microsoft System Center 2012 - 58 (18, 40)
  OmniTracker - 55 (41, 14)
  Naumen Service Desk - 51 (0, 51)
  Другие 251

  Comindware Business Application Platform - 78 (78, 0)
  Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 14 (14, 0)
  Nutanix HCI - 9 (9, 0)
  Naumen Service Management Platform (NSMP) - 7 (3, 4)
  Naumen Service Desk - 6 (0, 6)
  Другие 12

  Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 10 (10, 0)
  Naumen Service Desk - 9 (0, 9)
  Comindware Business Application Platform - 8 (8, 0)
  Naumen Service Management Platform (NSMP) - 6 (3, 3)
  ELMA365 Service - 6 (6, 0)
  Другие 2

  ELMA365 Service - 12 (12, 0)
  SimpleOne ITSM (IT Service Management) - 10 (10, 0)
  Naumen Service Desk - 9 (0, 9)
  Naumen Service Management Platform (NSMP) - 8 (1, 7)
  РусБИТех-Астра: ALD Pro - 3 (3, 0)
  Другие -3

  Naumen Service Management Platform (NSMP) - 6 (0, 6)
  РусБИТех-Астра: ALD Pro - 6 (6, 0)
  SimpleOne ITSM (IT Service Management) - 4 (4, 0)
  Naumen Service Desk - 3 (0, 3)
  Deckhouse Kubernetes-платформа - 3 (3, 0)
  Другие 2