Специалистами Positive Technologies, Владимиром Разовым и Александром Устиновым, были обнаружены пять уязвимостей в системе Nokia NetAct компании Nokia. Эксплуатация этих ошибок могла повлиять на защищенность и стабильность работы провайдеров.

Nokia NetAct используют более 500 провайдеров связи по всему мира для мониторинга и управления телекоммуникационными сетями, базовыми станциями и другими системами. На долю Nokia в России приходится примерно 20–25% от всего установленного оборудования, а на мировом рынке Nokia занимает примерно 9%.

Как рассказывают эксперты, используя обнаруженные уязвимости (выполняя XXE-инъекции или подделку запроса на стороне сервера, SSRF), злоумышленник потенциально мог достаточно далеко продвинуться в инфраструктуре провайдера и нанести значительный урон, вплоть до вывода из строя некоторых компонентов. И сложно сказать, могло ли это отразиться непосредственно на клиентах атакованного провайдера.

Наиболее серьезными из обнаруженных стали две XXE-уязвимости: CVE-2023-26057 (BDU:2023-01307) и CVE-2023-26058 (BDU:2023-01306), получившие одинаковую оценку в 5,8 балла по шкале CVSS v3. Они позволяли атакующим, имеющим авторизованный доступ в приложение, импортировать XML-файлы на страницах веб-интерфейса Nokia NetAct, при этом парсер некорректно обрабатывал внешние сущности, которые есть в этом XML-файле. С помощью внешних сущностей можно считывать данные с файловой системы, а также отправлять запросы от имени компьютера, на котором установлен NetAct. Проблемы были связаны с отсутствием проверки входных данных и неправильной конфигурацией парсеров XML.

Три другие уязвимости получили оценку 5 баллов из 10 возможных. Используя их, злоумышленники могли применять межсайтовое выполнение скриптов (XSS), эксплуатируя недостаточную проверку ввода определенных данных в интерфейсе NetAct, CVE-2023-26061 (BDU:2023-01303), или возможность загрузки ZIP-файла с определенными параметрами без проверки его содержимого, CVE-2023-26059 (BDU:2023-01305). Еще одна уязвимость, CVE-2023-26060 (BDU:2023-01304), позволяла преступникам осуществлять внедрение шаблонных выражений (Cross-Site Template Injection, CSTI).

Уязвимости были выявлены в NetAct 20 и NetAct 22. Теперь пользователям рекомендуется установить исправленную версию системы — NetAct 22 FP2211 или более новую.

Источник: xakep