Клеверенс заботится о ваших данных
В ходе проведения работ в интересах одного из заказчиков, специалисты компании CyberOK ( https://www.cyberok.ru/) выявили, что неправильная настройка конфигурации сервера Mobile SMARTS может быть использована злоумышленниками для получения критичной информации, а также для проведения неавторизованных действий в вашей системе.
В процессе подготовки запроса в БДУ ФСТЭК было установлено, что эта уязвимость достаточно распространена, в том числе и сервисы Mobile SMARTS в Рунете подвержены этому риску..
Конкретная угроза заключается в следующем:
При неправильно настроенном доступе к серверу, злоумышленники могут использовать открытые методы API (например, `RemoveTable`, `RunServerTask` и другие с префиксами `*Remove`, `*Reset`, `*Set`, `*Update`), что предоставляет им возможность осуществлять критические операции, такие как получение данных, удаление данных или изменение настроек системы.
Рекомендации по безопасности:
Для устранения данной уязвимости настоятельно рекомендуем использовать следующие настройки защиты:
- Использовать аутентификацию по пользователю для обмена к данными с сервером Mobile SMARTS.
- Использовать протокол HTTPS для шифрования данных при передаче.
-
Применять дополнительные меры безопасности:
- Использовать уникальные порты доступа сервера.
- Ограничивать доступы по средствам безопасных и зашифрованных соединений внутренней приватной сети.
- Использовать антивирусное программное обеспечение.
- Создавать отдельные учетные записи для служб сервера с ограниченными правами доступа.
- Использовать файервол для ограничения доступа (обмена данными) по IP-адресам.
Пожалуйста, примите меры по настройке конфигурации серверов Mobile SMARTS в соответствии с вышеуказанными рекомендациями.
Статья из нашей Базы Знаний https://www.cleverence.ru/support/32100/
Забота о безопасности ваших систем помогает предотвратить возможные угрозы и защитить данные ваших пользователей.
Если у вас возникнут вопросы или потребуется дополнительная информация, пожалуйста, не стесняйтесь обращаться.