Nokia NetAct

Продукт
Разработчики: Nokia Corporation
Дата последнего релиза: 2023/04/19
Отрасли: Телекоммуникация и связь
Технологии: EAM,  Network Health Monitoring - Мониторинг сети или управление здоровьем-производительностью ИТ-Инфраструктуры

Основная статья: EAM-cистема

2023: Исправление пяти уязвимостей

Компания Nokia исправила пять уязвимостей в системе Nokia NetAct, обнаруженных экспертами Positive Technologies Владимиром Разовым и Александром Устиновым. Об этом компания PT сообщила 19 апреля 2023 года. Это ПО используют более 500 провайдеров связи для мониторинга и управления телекоммуникационными сетями, базовыми станциями и другими системами. По данным РБК, на долю Nokia в России приходится примерно 20–25% от всего установленного оборудования. На мировом рынке Nokia занимает долю 9%. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и исправил уязвимости в последней версии ПО.

«
Используя обнаруженные уязвимости (выполняя XXE-инъекцию или подделку запроса на стороне сервера (SSRF)), злоумышленник потенциально мог достаточно далеко продвинуться в инфраструктуре провайдера и нанести значительный урон, вплоть до вывода из строя некоторых компонентов. Однако сложно сказать, могло ли это отразиться непосредственно на клиентах провайдера, — отметили эксперты Positive Technologies, нашедшие уязвимости.
»

Наиболее серьезными были две XXE-уязвимости (CVE-2023-26057 (BDU:2023-01307) и CVE-2023-26058 (BDU:2023-01306)), получившие одинаковую оценку в 5,8 баллов по шкале CVSS v3. Они позволяли атакующим, имеющим авторизованный доступ в приложение, импортировать XML-файлы на страницах веб-интерфейса Nokia NetAct, при этом парсер некорректно обрабатывал внешние сущности, которые есть в этом XML-файле. С помощью внешних сущностей можно считывать данные с файловой системы, а также отправлять запросы от имени компьютера, на котором установлен NetAct. Проблемы были связаны с отсутствием проверки входных данных и неправильной конфигурацией парсеров XML.Рынок IIoT в РФ: рост или тупик?

Три другие уязвимости получили оценку 5,0. Используя их, злоумышленники могли применять межсайтовое выполнение сценария (XSS), эксплуатируя недостаточную проверку ввода определенных данных в интерфейсе NetAct (CVE-2023-26061 (BDU:2023-01303)) или возможность загрузки ZIP-файла с определенными параметрами без проверки его содержимого (CVE-2023-26059 (BDU:2023-01305)). Еще одна уязвимость, CVE-2023-26060 (BDU:2023-01304), позволяла преступникам осуществлять внедрение шаблонных выражений (Cross-Site Template Injection, CSTI).

Уязвимости были выявлены в NetAct 20 и NetAct 22. Пользователям рекомендуется установить исправленную версию системы — NetAct 22 FP2211 или более новую.

Для обнаружения или блокировки атак, эксплуатирующих описанные уязвимости, компании могут использовать межсетевой экран уровня веб-приложений, продукты для защиты конечных точек (EDR, XDR) и системы анализа сетевого трафика (NTA).



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Деснол Софт (100)
  НПП СпецТек (Spectec) (97)
  Корпорация Галактика (71)
  IBS (35)
  Цифра (32)
  Другие (831)

  Деснол Софт (3)
  Добротех (2)
  Свизитом (Svisitom) (2)
  Цифра (2)
  BFG Group (БФГ Групп) (2)
  Другие (10)

  Деснол Софт (8)
  Цифра (7)
  BFG Group (БФГ Групп) (2)
  НПП СпецТек (Spectec) (2)
  1С-Рарус (1)
  Другие (3)

  Деснол Софт (4)
  Sitronics Electro (3)
  Форсайт (2)
  Цифра (2)
  Softline (Софтлайн) (2)
  Другие (15)

  Деснол Софт (5)
  BFG Group (БФГ Групп) (2)
  НПП СпецТек (Spectec) (2)
  Новософт развитие (1)
  Нота (Холдинг Т1) (1)
  Другие (9)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С Акционерное общество (4, 254)
  Деснол Софт (3, 249)
  НПП СпецТек (Spectec) (8, 161)
  Oracle (6, 150)
  Корпорация Галактика (6, 125)
  Другие (244, 452)

  Деснол Софт (1, 3)
  1С Акционерное общество (1, 3)
  SAP SE (2, 2)
  Цифра (1, 2)
  Свизитом (Svisitom) (1, 2)
  Другие (8, 8)

  1С Акционерное общество (1, 9)
  Деснол Софт (1, 9)
  Цифра (1, 7)
  НПП СпецТек (Spectec) (2, 2)
  BFG Group (БФГ Групп) (1, 2)
  Другие (5, 5)

  1С Акционерное общество (1, 5)
  Деснол Софт (1, 5)
  Цифра (1, 4)
  Sitronics Electro (1, 3)
  Inter iD (Интер АйДи - Системный интегратор) (1, 2)
  Другие (7, 8)

  Деснол Софт (1, 5)
  1С Акционерное общество (1, 5)
  Новософт развитие (2, 2)
  НПП СпецТек (Spectec) (2, 2)
  BFG Group (БФГ Групп) (1, 2)
  Другие (9, 9)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С: Предприятие 8. ТОИР Управление ремонтами и обслуживанием оборудования - 249
  Oracle E-Business Suite (OEBS) - 128
  TRIM-PMS (Planned Maintenance System) - 91
  Галактика ТОРО - 83
  TRIM - 66
  Другие 523

  1С: Предприятие 8. ТОИР Управление ремонтами и обслуживанием оборудования - 3
  BFG Simulation (ранее BFG CMT) - 2
  Свизитом: Эксплуатация и обслуживание зданий - 2
  Цифра: Диспетчер Система мониторинга промышленного оборудования и персонала - 2
  SAP Multiresource Scheduling (SAP MRS) - 1
  Другие 8

  1С: Предприятие 8. ТОИР Управление ремонтами и обслуживанием оборудования - 9
  Цифра: Диспетчер Система мониторинга промышленного оборудования и персонала - 7
  BFG Simulation (ранее BFG CMT) - 2
  Мобильный TRIM - 1
  Росатом: AtomMind (АтомМайнд) - 1
  Другие 4

  1С: Предприятие 8. ТОИР Управление ремонтами и обслуживанием оборудования - 5
  Цифра: Диспетчер Система мониторинга промышленного оборудования и персонала - 4
  Sitronics Electro Платформа управления ЭЗС - 3
  Форсайт: Мобильное ТОРО (ТOиР) - 2
  Inter iD: Union EAM - 2
  Другие 6

  1С: Предприятие 8. ТОИР Управление ремонтами и обслуживанием оборудования - 5
  BFG Simulation (ранее BFG CMT) - 2
  Цифра: Диспетчер Система мониторинга промышленного оборудования и персонала - 1
  Росатом: AtomMind (АтомМайнд) - 1
  Десна-2 - 1
  Другие 9

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Глобус-телеком (17)
  Softline (Софтлайн) (11)
  NetWrix Corporation (8)
  Т1 Интеграция (ранее Техносерв) (8)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (7)
  Другие (199)

  Инфосистемы Джет (2)
  Крок (2)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1)
  CDW Government (1)
  Factor Group (Фактор Груп) (1)
  Другие (9)

  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  Aruba Networks (1)
  C3 Solutions (СиТри Солюшнз, Новые Технологии) (1)
  Hewlett Packard Enterprise (HPE) (1)
  ISPsystem (Экзософт) (1)
  Другие (3)

  Связьком (1)
  Т-Банк (Тинькофф Банк) (1)
  Другие (0)

  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1)
  TrafficSoft (НФВер, Траффик Софт) ранее NFWare (1)
  Нота (Холдинг Т1) (1)
  Другие (0)