Мисконфигурация в Клеверенс Mobile SMARTS

Клеверенс Mobile SMARTS – платформа для разработки корпоративных мобильных решений под ТСД, смартфоны и планшеты. Обеспечивает разработку, внедрение, работу и последующую поддержку мобильной части транспортных, складских, торговых и производственных систем. REST и SOAP API доступны для возможности работы клиента (например, мобильного приложения) с серверной частью.

Если при настройке системы не была включена аутентификация, данные API могут быть доступны анонимно из Интернета. Злоумышленник может повредить или изменить данные на свое усмотрение, попытаться повлиять на процессы в производственной системе, а также получить очень подробную разведку об используемых в системе софте и устройствах, о содержимом таблиц, о доступных операциях и т.п.

Важно: по умолчанию аутентификация отключена, и разработчик рекомендует не выставлять сервер Mobile SMARTS в Интернет, ограничивать доступ по IP-адресам, а в случае, когда это сложно применить – включить аутентификацию.

Рекомендации от Клеверенс:

1. Безопасно ли использовать сервер Mobile SMARTS в открытом доступе

2. Аутентификация по пользователю в Mobile SMARTS

Также, хотелось бы поблагодарить команду Клеверенс за оперативную реакцию и вовлеченность при оповещении клиентов.

Мы настоятельно рекомендуем не выставлять данный критичный сервис в Интернет и настроить на нем аутентификацию, следуя рекомендациям от Клеверенс.

СКИПА отслеживает более 8000 сервисов Mobile SMARTS в Рунете, и по оценкам экспертов СайберОК, около 36% из них подвержены данной мисконфигурации.

Подписывайтесь на наш ĸанал в телеграм, там вы найдете множество интересных материалов по информационной безопасности и мониторингу внешних атаĸ.