Киберэксперт Полунин: уязвимость Meteobridge — следствие проблем «коробочных» решений

Уязвимость затрагивает все версии Meteobridge до 2.2.1. Необходимо как можно скорее обновить ПО до последней версии.

«Десять лет назад на конференциях говорили, что "HTTP — это новый TCP", подразумевая его важность. Сегодня эта фраза приобретает новый, ироничный смысл, ведь HTTP стал главной мишенью для кибератак. Это понятно, атакуют то, что популярно, но количество уязвимостей с оценкой по CVE выше 8 превышает все разумные пределы. В этот раз уязвимость нашли в очередном веб-приложении — ввод данных в очередную переменную не проверяется, что открывает возможность атакам на инъекции команд. В теории, этого можно было бы избежать, выстроив конвейер CI/CD, и в какой-то момент сканер обязательно нашел бы эту проблему. Или запускать приложение в SOC, таком как GSOC от компании "Газинформсервис", где исходный код можно было бы регулярно сканировать и искать в нём уязвимости. Но коробочные решения на то и коробочные, чтобы поставить и забыть, а значит проблема эта не исчезнет в ближайшее время», — отмечает киберэксперт.