CVE-2020-4529：允许经过身份验证的攻击者从系统发送未经授权的请求

网络安全公司Positive Technologies警告说，IBM最近在其Maximo资产管理解决方案中修复了一个高严重性漏洞，使黑客更容易在企业网络中活动。

该安全漏洞的跟踪记录为CVE-2020-4529，已被描述为服务器端请求伪造（SSRF）问题，允许经过身份验证的攻击者从系统发送未经授权的请求，IBM表示这可以助长其他攻击。

该漏洞影响Maximo Asset Management 7.6.0和7.6.1以及可能的较旧版本。IBM已发布应对该漏洞的更新版本，并且该公司还分享了应对办法和缓解措施。

Maximo Asset Management旨在帮助资产密集型行业的组织管理实物资产。该解决方案用于各个领域，包括石油和天然气，航空航天，汽车制造，铁路，制药，公用事业和核电站。

IBM指出，该漏洞还会影响个别行业的解决方案，如果他们使用受影响的核心版本。其中包括用于航空，生命科学，石油，天然气，核电，运输和公用事业的Maximo。

利用此漏洞需要访问目标组织内的系统，但是可以从仓库工人的工作站发起攻击，这可能使威胁参与者更容易入侵。

“ IBM Maximo Web界面通常可以从公司的所有仓库访问，这些仓库可以位于多个地区或国家。因此，如果我们的’仓库工人’通过正确配置的VPN连接，则该人在公司网络中的访问将受到限制。例如，通过特定的系统和电子邮件。” Positive Technologies的研究人员Arseny Sharoglazov解释说。

“但是我们发现的漏洞允许绕过此限制并与其他系统交互，攻击者可以在该系统上尝试执行远程代码执行（RCE），并可能访问所有系统，蓝图，文档，会计信息和ICS流程网络。有时，员工会使用弱密码而不使用VPN直接通过Internet连接到IBM Maximo，这使得攻击更容易执行。” Sharoglazov补充说。

Sharoglazov告诉《安全周刊》，通过Maximo实例中看到攻击者从Internet访问，可以使用Shodan搜索引擎进行探索。

在专家描述的攻击情形中，攻击者暴力破解目标系统的密码获得访问权限，然后他们利用此漏洞来破坏可能受其他漏洞影响的另一台主机。

“例如，如果一家大型银行的网络遭到破坏，则存在客户支付信息泄漏以及未经授权访问ATM管理或汇款系统的风险，” Sharoglazov通过电子邮件说。

“如果生产或运输公司的网络受到破坏，那么网络犯罪分子就可以进入技术领域，甚至停止设施或引发系统故障。假设所讨论的系统由能源公司和机场使用，成功攻击的后果可能非常严重。”