Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупредил о наличии уязвимости “нулевого дня” в CRM-системе “Terrasoft” и BPM-системе “Creatio”, разработанных компанией “Террасофт”.
По данным НКЦКИ, уязвимость позволяет получить несанкционированный доступ к файлу ConnectionStrings.config, который в большинстве случаев содержит аутентификационные данные администратора уязвимого продукта. В результате злоумышленники могут нарушить процессы обработки данных в организациях, а также получить доступ к конфиденциальным данным.
НКЦКИ рекомендует пользователям продуктов “Террасофт” принять следующие меры по нейтрализации угрозы:
- Обновить аутентификационные данные пользователей указанных выше продуктов.
- Ограничь доступ к уязвимому продукту из сети “Интернет”.
- Использовать межсетевой экран прикладного уровня для защиты своих информационных ресурсов.
- Рассмотреть возможность перехода на отечественные аналоги.
Public Release.