Κυκλοφόρησε ένα proof-of-concept (
PoC
) εκμετάλλευση για μια κρίσιμη ευπάθεια παράκαμψης ελέγχου ταυτότητας Veeam Recovery Orchestrator που παρακολουθείται ως
CVE
-2024-29855, αυξάνοντας τον κίνδυνο εκμετάλλευσης σε επιθέσεις.
Το exploit αναπτύχθηκε από ερευνητή ασφαλείας
Sina Kheirkha
, ο οποίος δημοσίευσε και αναλυτική ανάρτηση στο site του. Η ανάρτηση έδειξε ότι το ελάττωμα είναι πρακτικά πιο απλό στην εκμετάλλευση από ό,τι υποδεικνύεται στο δελτίο του πωλητή.
Κρίσιμη παράκαμψη ελέγχου ταυτότητας
Το CVE-2024-29855, με βαθμολογία 9,0 σύμφωνα με το CVSS v3.1 (“κρίσιμο”), είναι μια ευπάθεια παράκαμψης ελέγχου ταυτότητας που επηρεάζει τις εκ
δόσεις
7.0.0.337 και 7.1.0.205 και παλαιότερες του Veeam Recovery Orchestrator (VRO).
Το ελάττωμα επιτρέπει σε μη επαληθευμένους εισβολείς να συνδεθούν στη διεπαφή ιστού Veeam Recovery Orchestrator με δικαιώματα διαχειριστή.
Το πρόβλημα προκύπτει από τη χρήση ενός μυστικού κωδικοποιημένου JSON Web Token (JWT), το οποίο επιτρέπει στους εισβολείς να δημιουργούν έγκυρα διακριτικά JWT για οποιονδήποτε χρήστη, συμπεριλαμβανομένων των διαχειριστών.
Πιο συγκεκριμένα, το μυστικό JWT δημιουργεί και επικυρώνει διακριτικά χωρίς καμία τυχαιότητα ή μοναδικότητα σε κάθε εγκατάσταση, καθιστώντας την αρκετά προβλέψιμη και στατική ώστε να είναι εκμεταλλεύσιμη.
Το
ενημερωτικό δελτίο
ασφαλείας του Veeam προτείνει την αναβάθμιση στις επιδιορθωμένες εκδόσεις 7.1.0.230 και 7.0.0.379 και περιγράφει επίσης τις προϋποθέσεις που απαιτούνται για την εκμετάλλευση του ελαττώματος. Αυτές οι προϋποθέσεις περιλαμβάνουν τη γνώση ενός έγκυρου ονόματος χρήστη και ρόλου και τη στόχευση ενός χρήστη με ενεργή περίοδο σύνδεσης.
“Ο εισβολέας πρέπει να γνωρίζει το ακριβές όνομα χρήστη και το ρόλο ενός λογαριασμού που διαθέτει ενεργό διακριτικό πρόσβασης στο
περιβάλλον
χρήστη VRO για να πραγματοποιήσει την αεροπειρατεία.”
διαβάζει το δελτίο του Veeam
.
Ωστόσο, όπως δείχνει ο Kheirkha στη συγγραφή του, ορισμένες από αυτές τις απαιτήσεις μπορούν να παρακαμφθούν με λίγη προσπάθεια, καθιστώντας αυτήν την ευπάθεια πιο τρομερή και εντυπωσιακή.
Ξεπερνώντας τις απαιτήσεις
Ο Kheirkha διαπίστωσε ότι ο καθορισμός του ρόλου μπορεί να ξεπεραστεί εύκολα, καθώς μπορούν να υπάρχουν μόνο πέντε ρόλοι (DRSiteAdmin, DRPlanAuthor, DRplanOperator και SiteSetupOperator).
Το σενάριο εκμετάλλευσης σχεδιάστηκε για να επαναλαμβάνεται μεταξύ αυτών των ρόλων κατά τη δημιουργία κουπονιών JWT μέχρι να βρει ταίριασμα.
Το σενάριο εκμετάλλευσης του Kherikha σε δράση
Πηγή: Summoning Team
Για να βρει ένα όνομα χρήστη που θα χρησιμοποιηθεί στην επίθεση, ο ερευνητής σημειώνει ότι το πιστοποιητικό SSL, που λαμβάνεται απλώς με σύνδεση στο τελικό σημείο στόχου, περιέχει συνήθως αρκετές ενδείξεις για την εξαγωγή του τομέα και πιθανών ονομάτων χρήστη για χρήση σε μια επίθεση ψεκασμού διακριτικών.
“Το πρόβλημα “γνωρίζοντας το όνομα χρήστη” μπορεί να λυθεί με την ακόλουθη λύση: υποθέτοντας ότι υπάρχει ένας χρήστης με το όνομα
, μπορεί κανείς να βρει το όνομα τομέα κοιτάζοντας το πεδίο CN του πιστοποιητικού SSL και το όνομα χρήστη μπορεί να ψεκαστεί», εξηγούν οι ερευνητές στο
Κλήση Ομάδας
.
Τέλος, όσον αφορά την απαίτηση “ενεργής συνεδρίας”, το σενάριο PoC του Kheirkha δημιουργεί και δοκιμάζει τα κουπόνια JWT σε μια σειρά χρονικών σημάνσεων για να αυξήσει τις πιθανότητες να πραγματοποιηθεί μια ενεργή περίοδος σύνδεσης.
Μια πιο στοχευμένη και μυστική προσέγγιση θα ήταν η διερεύνηση των χρόνων δραστηριότητας των χρηστών. Υπάρχει επίσης η προσέγγιση «brute force», η οποία περιλαμβάνει συνεχείς προσπάθειες μέχρι να αντιστοιχιστεί ένα ενεργό διακριτικό περιόδου λειτουργίας.
Όπως είναι το exploit για το CVE-2024-29855
πλέον διαθέσιμο στο κοινό
οι εισβολείς πιθανότατα θα προσπαθήσουν να το αξιοποιήσουν έναντι μη επιδιορθωμένων συστημάτων, επομένως η εφαρμογή των διαθέσιμων ενημερώσεων ασφαλείας το συντομότερο δυνατό είναι ζωτικής σημασίας.
VIA:
bleepingcomputer.com
0