CVE-2020-4529：允許經過身份驗證的攻擊者從系統發送未經授權的請求

網絡安全公司Positive Technologies警告說，IBM最近在其Maximo資產管理解決方案中修復了一個高嚴重性漏洞，使黑客更容易在企業網絡中活動。

該安全漏洞的跟蹤記錄為CVE-2020-4529，已被描述為服務器端請求偽造（SSRF）問題，允許經過身份驗證的攻擊者從系統發送未經授權的請求，IBM表示這可以助長其他攻擊。

該漏洞影響Maximo Asset Management 7.6.0和7.6.1以及可能的較舊版本。IBM已發布應對該漏洞的更新版本，并且該公司還分享了應對辦法和緩解措施。

Maximo Asset Management旨在幫助資產密集型行業的組織管理實物資產。該解決方案用于各個領域，包括石油和天然氣，航空航天，汽車制造，鐵路，制藥，公用事業和核電站。

IBM指出，該漏洞還會影響個別行業的解決方案，如果他們使用受影響的核心版本。其中包括用于航空，生命科學，石油，天然氣，核電，運輸和公用事業的Maximo。

利用此漏洞需要訪問目標組織內的系統，但是可以從倉庫工人的工作站發起攻擊，這可能使威脅參與者更容易入侵。

“ IBM Maximo Web界面通常可以從公司的所有倉庫訪問，這些倉庫可以位于多個地區或國家。因此，如果我們的’倉庫工人’通過正確配置的VPN連接，則該人在公司網絡中的訪問將受到限制。例如，通過特定的系統和電子郵件。” Positive Technologies的研究人員Arseny Sharoglazov解釋說。

“但是我們發現的漏洞允許繞過此限制并與其他系統交互，攻擊者可以在該系統上嘗試執行遠程代碼執行（RCE），并可能訪問所有系統，藍圖，文檔，會計信息和ICS流程網絡。有時，員工會使用弱密碼而不使用VPN直接通過Internet連接到IBM Maximo，這使得攻擊更容易執行。” Sharoglazov補充說。

Sharoglazov告訴《安全周刊》，通過Maximo實例中看到攻擊者從Internet訪問，可以使用Shodan搜索引擎進行探索。

在專家描述的攻擊情形中，攻擊者暴力破解目標系統的密碼獲得訪問權限，然后他們利用此漏洞來破壞可能受其他漏洞影響的另一臺主機。

“例如，如果一家大型銀行的網絡遭到破壞，則存在客戶支付信息泄漏以及未經授權訪問ATM管理或匯款系統的風險，” Sharoglazov通過電子郵件說。

“如果生產或運輸公司的網絡受到破壞，那么網絡犯罪分子就可以進入技術領域，甚至停止設施或引發系統故障。假設所討論的系統由能源公司和機場使用，成功攻擊的后果可能非常嚴重。”