Эксперт Positive Technologies Ариан Рахими нашел опасный баг в ASoft CRM. Используя его, злоумышленник мог получить доступ к конфиденциальной информации, хранящейся на сервере системы: проектам компаний, клиентской базе, списку контрагентов.
ASoft CRM представляет собой CRM-систему для управления проектами. Она применяется в сфере маркетинга, финансов, образования и логистики, позволяя оптимизировать внутренние процессы, коммуникацию с клиентами, управление маркетингом, продажами, складом и электронным документооборотом.
Обнаруженная уязвимость получила идентификатор BDU:2022-04486, ей был присвоен высокий уровень опасности (7,5 балла по шкале CVSS 3.0). Недостаточно проработанные механизмы безопасности в ASoft CRM позволяли злоумышленнику использовать уязвимость типа Path Traversal и выполнять чтение любого файла.
«CRM-система — один из самых важных для компании продуктов, так как в ней могут содержаться данные о коммерческой и операционной деятельности предприятия. Кроме того, в ряде случаев CRM-система (в частности, ASoft CRM) может работать с правами суперпользователя, что позволяет прочитать файл с зашифрованными паролями, расшифровать пароль суперпользователя и получить максимальные привилегии на узле. Злоумышленник в подобной ситуации потенциально смог бы не только прочитать или изменить всю информацию в системе, но и развить атаку в корпоративной сети на другие ключевые элементы инфраструктуры», — рассказывает Ариан Рахими.
По словам исследователя, подобные проблемы возникают из-за некорректной валидации пути к файлу. Уязвимость позволяет атакующему выйти за пределы папки или каталога и читать файлы в произвольном местоположении.
Проблема была обнаружена в ASoft CRM 2.6 и уже устранена в следующей версии продукта.