CVE-2024-7694

Суть уязвимости

Уязвимость CVE-2024-7694 в продукте TeamT5 ThreatSonar Anti-Ransomware классифицируется как загрузка файла опасного типа без ограничений (Unrestricted Upload of File with Dangerous Type).

Проблема заключается в том, что приложение некорректно валидирует содержимое и расширения загружаемых файлов. Злоумышленник, который уже смог получить права администратора на платформе, может воспользоваться этим недостатком для загрузки вредоносных файлов (например, веб-шеллов или исполняемых скриптов). В результате атакующий получает возможность выполнять произвольные системные команды (RCE — Remote Code Execution) на сервере, что ведет к полной компрометации хоста, на котором развернут продукт.

Как исправить

Единственным надежным способом устранения данной уязвимости является обновление программного обеспечения до версии, в которой вендор исправил механизм валидации файлов.

• Свяжитесь с технической поддержкой TeamT5 или авторизуйтесь на официальном портале для клиентов.
• Запросите и загрузите актуальный патч безопасности или новую версию ThreatSonar Anti-Ransomware, закрывающую CVE-2024-7694.
• Перед установкой обновления обязательно создайте полную резервную копию системы или снапшот виртуальной машины.
• Установите обновление согласно официальной документации вендора.

Временные меры

Поскольку для эксплуатации уязвимости требуются права администратора, временные меры должны быть направлены на защиту административного интерфейса и ограничение возможностей веб-сервера.

• Ограничение сетевого доступа: Настройте межсетевой экран так, чтобы доступ к панели управления ThreatSonar был разрешен только из выделенного сегмента сети управления (Management VLAN) или через VPN. Пример ограничения доступа к порту веб-интерфейса (например, 443) только для подсети администраторов:

iptables -A INPUT -p tcp --dport 443 -s 192.168.100.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP

• Аудит учетных записей: Немедленно проверьте список всех пользователей, имеющих права администратора в системе ThreatSonar. Заблокируйте или удалите неактивные, неизвестные или подозрительные учетные записи.
• Усиление аутентификации: Убедитесь, что для всех административных учетных записей используются сложные, уникальные пароли и в обязательном порядке включена многофакторная аутентификация (MFA).
• Мониторинг логов: Настройте пересылку логов веб-сервера ThreatSonar в SIEM-систему и создайте правила корреляции для отслеживания аномальных загрузок файлов (POST-запросы к эндпоинтам загрузки) от имени администраторов. Пример ручного поиска событий загрузки в логах:

grep -i "upload" /var/log/nginx/threatsonar_access.log

• Ограничение прав на уровне ОС: Убедитесь, что служба веб-сервера, обслуживающая ThreatSonar, работает с минимально необходимыми привилегиями. Директории, предназначенные для загрузки файлов, не должны иметь прав на исполнение скриптов. Снимите права на исполнение с директории загрузок (замените путь на актуальный для вашей инсталляции):

chmod -R a-x /path/to/threatsonar/uploads/

• Использование WAF: Если перед приложением установлен Web Application Firewall, добавьте строгие правила фильтрации, запрещающие загрузку файлов с потенциально опасными расширениями (.php, .sh, .py, .exe, .jsp, .cgi) через административный интерфейс.