CVE-2023-47246

SysAid SysAid Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-11-13

Официальное описание

SysAid Server (on-premises version) contains a path traversal vulnerability that leads to code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-47246 представляет собой критическую уязвимость типа Path Traversal (обход пути) в on-premises версии SysAid Server. Проблема заключается в недостаточной фильтрации входных данных в сервлете UserSpaceLayoutConfiguration.

Злоумышленник может отправить специально сформированный POST-запрос, содержащий архив (например, ZIP), и с помощью манипуляции путями распаковать его в произвольную директорию веб-сервера Tomcat. Это позволяет загрузить веб-шелл (JSP-файл) в корень веб-приложения, что приводит к удаленному выполнению произвольного кода (RCE) с правами системы. Уязвимость активно эксплуатировалась группировкой Lace Tempest (FIN11).

Как исправить

Единственным надежным способом устранения уязвимости является обновление SysAid Server до версии, в которой исправлена логика обработки путей.

  1. Скачайте актуальный установщик с официального портала SysAid.
  2. Создайте резервную копию базы данных и конфигурационных файлов.
  3. Установите обновление до версии 23.3.36 или выше.
  4. После обновления убедитесь, что версия сервера корректно отображается в панели управления.

Временные меры

Если немедленное обновление невозможно, необходимо выполнить следующие действия для минимизации рисков и проверки системы на наличие следов компрометации:

  1. Ограничьте доступ к веб-интерфейсу SysAid из внешних сетей (интернета), разрешив доступ только через VPN или доверенные IP-адреса.

  2. Проверьте наличие подозрительных файлов в директории веб-рута Tomcat (обычно это папка webapps). Ищите файлы с расширением .jsp, которые не входят в стандартную поставку (например, в папке css или js).

  3. Проверьте содержимое папки C:\Program Files\SysAidServer\tomcat\webapps\ROOT\ на наличие необычных архивов (WAR/ZIP).

  4. Проверьте логи доступа Tomcat на наличие POST-запросов к /userspacelayoutconfiguration с аномальными параметрами.

  5. Заблокируйте выполнение команд PowerShell для сервисной учетной записи SysAid, если это возможно, и настройте мониторинг запуска подозрительных дочерних процессов от имени java.exe.

Get-ChildItem -Path "C:\Program Files\SysAidServer\tomcat\webapps\" -Recurse -Include *.jsp,*.war


Stop-Service -Name "SysAidServer"
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей