CVE-2024-9537

ScienceLogic SL1

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-10-21

Официальное описание

ScienceLogic SL1 (formerly EM7) is affected by an unspecified vulnerability involving an unspecified third-party component.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-9537 представляет собой критическую уязвимость в платформе ScienceLogic SL1 (ранее EM7), связанную с использованием стороннего компонента (предположительно, библиотеки ZeroMQ). Уязвимость позволяет неавторизованному злоумышленнику выполнить произвольный код или вызвать состояние «отказ в обслуживании» (DoS) на целевом сервере. Проблема классифицируется как критическая, так как эксплуатация возможна удаленно без необходимости взаимодействия с пользователем.

Как исправить

Основным способом устранения уязвимости является обновление платформы ScienceLogic SL1 до версий, в которых сторонний компонент был исправлен или заменен.

  1. Проверьте текущую версию вашей системы в интерфейсе администратора или через CLI.
  2. Установите соответствующие патчи в зависимости от вашей ветки обновлений:
  3. Если вы используете версию 12.1.x, обновитесь до 12.1.3 или выше.
  4. Если вы используете версию 12.2.x, обновитесь до 12.2.2 или выше.
  5. Для версий 10.1.x, 10.2.x, 11.1.x и 11.2.x необходимо применить специфические исправления, предоставленные службой поддержки ScienceLogic (версии 10.1.7.3, 10.2.6.3, 11.1.3.1, 11.2.3.1).

Для применения обновлений через CLI (после загрузки патча):

sudo silotc update --patch <patch_file_name>

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и ограничить доступ к уязвимым компонентам:

  1. Ограничьте доступ к портам управления SL1 (особенно тем, которые используют ZeroMQ, например, 5555, 5556) с помощью межсетевого экрана. Разрешите подключения только с доверенных IP-адресов (Management Network).
sudo iptables -A INPUT -p tcp --dport 5555 -s <TRUSTED_IP> -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 5555 -j DROP

  1. Изолируйте узлы Collector и Database в отдельные сегменты сети, исключив прямой доступ к ним из публичных сетей.

  2. Настройте расширенный мониторинг системных логов на предмет аномальных процессов или неожиданных сетевых соединений от сторонних библиотек.

tail -f /var/log/em7/silo.log
  1. Свяжитесь с технической поддержкой ScienceLogic для получения индивидуальных рекомендаций (Hotfix), если ваша версия системы находится на этапе Extended Support.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей