CVE-2019-4716

IBM Planning Analytics

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

IBM Planning Analytics is vulnerable to a configuration overwrite that allows an unauthenticated user to login as "admin", and then execute code as root or SYSTEM via TM1 scripting.

🛡️
Технический анализ и план устранения

Суть уязвимости

Неаутентифицированный удаленный злоумышленник может перезаписать конфигурацию IBM Planning Analytics (TM1), чтобы получить учетные данные администратора. После этого, используя функции TM1-скриптинга, он может выполнить произвольный код с привилегиями пользователя, под которым работает служба TM1 (часто это root в Linux или SYSTEM в Windows).

Как исправить

Установите официальный патч от IBM, устраняющий эту уязвимость.

  1. Определите свою версию IBM Planning Analytics (TM1). Например, через веб-интерфейс или проверив файлы установки.
  2. Установите соответствующий апдейт (ifix) или обновитесь до исправленной версии:
    • Для версии 2.0.x: Установите APAR IJ25140. Обновитесь до версии 2.0.9.1 или новее.
    • Для версии 11.x (IBM Cognos TM1): Установите соответствующий Interim Fix. Минимальная исправленная версия — 11.8.00000.16.
  3. Скачайте патч с официального портала IBM Fix Central: https://www.ibm.com/support/fixcentral/.
    • Выберите продукт: IBM Planning Analytics или IBM Cognos TM1.
    • Выберите свою версию и платформу (Windows/Linux).
    • Найдите и скачайте исправление для CVE-2019-4716.
  4. Установите патч, следуя официальной инструкции IBM. Обычно процесс включает остановку служб, запуск установщика и перезапуск служб.

Пример для Linux (после загрузки патча):

# Остановите службы TM1/Planning Analytics
sudo systemctl stop tm1srv1

# Перейдите в каталог с установщиком патча, сделайте его исполняемым и запустите
cd /path/to/patch/
chmod +x install_patch.bin
sudo ./install_patch.bin

# Запустите службы снова
sudo systemctl start tm1srv1

Временное решение

Если немедленная установка патча невозможна, примените следующие ограничивающие меры:

  1. Ограничьте сетевой доступ:

    • Настройте межсетевой экран (firewall) так, чтобы порты TM1 (по умолчанию TCP/5495 для HTTP, TCP/5498 для HTTPS) были доступны только из доверенных сетей (например, сегмента для пользователей) и не были доступны из интернета.
    • Пример правила iptables для Linux (запрет доступа извне): bash sudo iptables -A INPUT -p tcp --dport 5498 -s 192.168.1.0/24 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 5498 -j DROP
    • Для Windows: Создайте соответствующие правила в "Брандмауэре Защитника Windows" для входящих подключений.

  2. Используйте WAF (Web Application Firewall):

    • Разместите перед сервером Planning Analytics WAF (например, ModSecurity, коммерческие решения).
    • Настройте в WAF правила для блокировки аномальных или подозрительных запросов к административным конечным точкам TM1 (например, содержащих попытки перезаписи конфигурации).

  3. Усильте мониторинг:

    • Включите детальное аудит-логирование TM1.
    • Настройте оповещения на попытки входа под учетной записью "admin" с недоверенных IP-адресов или множественные неудачные попытки аутентификации.
    • Регулярно проверяйте логи на предмет изменений в конфигурационных файлах TM1 (например, tm1s.cfg).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей