CVE-2022-31199

Netwrix Auditor

ВЕРОЯТНОСТЬ 5.9%
Дата обнаружения

2023-07-11

Официальное описание

Netwrix Auditor User Activity Video Recording component contains an insecure objection deserialization vulnerability that allows an unauthenticated, remote attacker to execute code as the NT AUTHORITY\SYSTEM user. Successful exploitation requires that the attacker is able to reach port 9004/TCP, which is commonly blocked by standard enterprise firewalling.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-31199 представляет собой критическую уязвимость небезопасной десериализации объектов в компоненте Netwrix Auditor User Activity Video Recording.

Проблема заключается в том, что сервис прослушивает порт 9004/TCP и некорректно обрабатывает входящие данные. Злоумышленник, имеющий сетевой доступ к этому порту, может отправить специально сформированный сериализованный объект. При попытке десериализации этого объекта приложение выполнит произвольный код в контексте учетной записи NT AUTHORITY\SYSTEM. Уязвимость является критической, так как не требует аутентификации и предоставляет полный контроль над сервером.

Как исправить

Для полного устранения уязвимости необходимо обновить Netwrix Auditor до версии, в которой механизмы обработки объектов были исправлены.

  1. Скачайте актуальную версию Netwrix Auditor (не ниже 10.5) с официального портала Netwrix.
  2. Запустите инсталлятор на сервере управления Netwrix Auditor.
  3. Следуйте инструкциям мастера обновления для завершения процесса.
  4. После обновления убедитесь, что версия компонентов видеозаписи также обновилась.

Проверить текущую версию установленного ПО можно через PowerShell:

Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like "*Netwrix Auditor*"} | Select-Object Name, Version

Временные меры

Если немедленное обновление невозможно, необходимо ограничить вектор атаки на сетевом уровне и уровне служб.

1. Настройка межсетевого экрана (Host-based Firewall) Заблокируйте входящие соединения на порт 9004/TCP для всех источников, кроме доверенных (если компонент используется легитимно), или полностью закройте порт.

New-NetFirewallRule -DisplayName "Block Netwrix Port 9004" -Direction Inbound -LocalPort 9004 -Protocol TCP -Action Block

2. Остановка уязвимой службы Если функция записи видео активности пользователей (User Activity Video Recording) не является критически важной для вашей инфраструктуры, остановите и отключите соответствующую службу.

Stop-Service -Name "Netwrix.UAVR.Server" -Force
Set-Service -Name "Netwrix.UAVR.Server" -StartupType Disabled

3. Сегментация сети Убедитесь, что доступ к серверам Netwrix Auditor ограничен на уровне корпоративного межсетевого экрана и разрешен только для административных подсетей.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей