CVE-2018-9276

Paessler PRTG Network Monitor

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-02-04

Официальное описание

Paessler PRTG Network Monitor contains an OS command injection vulnerability that allows an attacker with administrative privileges to execute commands via the PRTG System Administrator web console.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2018-9276 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд ОС) в веб-интерфейсе Paessler PRTG Network Monitor. Проблема локализована в механизме обработки параметров уведомлений (Notifications).

Злоумышленник с правами администратора может внедрить произвольные команды операционной системы в поля ввода (например, в поле для отправки SMS или запуска исполняемых файлов), используя специальные символы-разделители (такие как ;, & или |). Поскольку сервис PRTG по умолчанию работает под учетной записью LocalSystem, успешно внедренная команда выполняется с максимальными привилегиями в системе, что ведет к полному захвату хоста.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление программного обеспечения до версии, в которой была внедрена фильтрация входных данных.

  1. Перейдите на официальный сайт Paessler или в личный кабинет.
  2. Скачайте версию PRTG Network Monitor 18.2.39.1661 или выше.
  3. Выполните установку обновления на сервере Core Server.

Для проверки текущей версии и наличия обновлений через консоль:

Get-ItemProperty HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* | Where-Object { $_.DisplayName -like "*PRTG*" } | Select-Object DisplayVersion

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение прав доступа: Проведите аудит учетных записей PRTG. Убедитесь, что доступ к разделу "Setup" и "Notifications" имеют только доверенные сотрудники. Удалите неиспользуемые административные аккаунты.

  2. Смена сервисной учетной записи: Настройте запуск службы PRTG Core Service от имени специально созданной учетной записи с минимальными привилегиями в системе (Managed Service Account), вместо стандартной LocalSystem.

  3. Мониторинг подозрительных процессов: Настройте аудит создания процессов (Event ID 4688) на сервере мониторинга. Особое внимание уделяйте дочерним процессам PRTG Server.exe, запускающим cmd.exe или powershell.exe.

Get-WinEvent -FilterHashtable @{LogName='Security';ID=4688} | Where-Object {$_.Message -like "*PRTG Server.exe*"}
  1. Сетевая изоляция: Ограничьте доступ к веб-интерфейсу администрирования PRTG (порты 80/443) с помощью Firewall, разрешив подключения только с доверенных IP-адресов администраторов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей