Το Exploit κυκλοφόρησε για νέα ευπάθεια παράκαμψης ελέγχου ταυτότητας Arcserve UDP
Related Posts
Ο προμηθευτής προστασίας δεδομένων Arcserve έχει αντιμετωπίσει ένα ελάττωμα ασφαλείας υψηλής σοβαρότητας στο λογισμικό δημιουργίας αντιγράφων ασφαλείας Unified
Data
Protection (UDP) που μπορεί να επιτρέψει στους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας και να αποκτήσουν δικαιώματα διαχειριστή.
Σύμφωνα με την εταιρεία,
Arcserve UDP
είναι μια λύση προστασίας δεδομένων και
ransomware
που έχει σχεδιαστεί για να βοηθά τους πελάτες να αποτρέπουν επιθέσεις ransomware, να επαναφέρουν δεδομένα που έχουν παραβιαστεί και να επιτρέψουν την αποτελεσματική ανάκτηση από καταστροφές για τη διασφάλιση της επιχειρηματικής συνέχειας.
Arcserve
κυκλοφόρησε το UDP 9.1
για να διορθώσετε την ευπάθεια (παρακολούθηση ως CVE-
2023
-26258) στις 27 Ιουνίου, τέσσερις μήνες μετά την εύρεση και την αναφορά του σφάλματος από τους ερευνητές ασφαλείας Juan Manuel Fernandez και Sean Doherty με την ομάδα ActiveBreach red της MDSec.
“Κατά τη διάρκεια μιας πρόσφατης προσομοίωσης αντιπάλου, η κόκκινη ομάδα MDSec ActiveBreach [was] εκτελώντας ένα σενάριο ransomware, με βασικό στόχο να θέσει σε κίνδυνο την εφεδρική υποδομή του οργανισμού», οι ερευνητές
είπε
.
“Μέσα σε λίγα λεπτά από την ανάλυση του κώδικα, ανακαλύφθηκε μια κρίσιμη παράκαμψη ελέγχου ταυτότητας που επέτρεπε την πρόσβαση στη διεπαφή διαχείρισης.”
Σε συστήματα που εκτελούν Arcserve UDP 7.0 έως 9.0, το ελάττωμα επιτρέπει στους εισβολείς στο τοπικό δίκτυο να έχουν πρόσβαση στη διεπαφή διαχειριστή UDP αφού αποκτήσουν εύκολα αποκρυπτογραφημένα διαπιστευτήρια διαχειριστή, καταγράφοντας αιτήματα SOAP που περιέχουν AuthUUID για να λάβουν έγκυρες περιόδους σύνδεσης διαχειριστή.
Τα διαπιστευτήρια διαχειριστή θα μπορούσαν να επιτρέψουν στους παράγοντες απειλών να καταστρέψουν τα δεδομένα των στόχων σκουπίζοντας τα αντίγραφα ασφαλείας σε επιθέσεις ransomware.
Οι ερευνητές του MDSec ActiveBreach πρόσθεσαν ότι ένα ζεύγος προεπιλεγμένων διαπιστευτηρίων βάσης δεδομένων MSSQL θα μπορούσε επίσης να χρησιμοποιηθεί για την απόκτηση των διαπιστευτηρίων διαχειριστή, εάν ο στοχευμένος διακομιστής έχει ήδη επιδιορθωθεί σε σχέση με το CVE-2023-26258 και χρησιμοποιεί μια προεπιλεγμένη διαμόρφωση.
Μοιράστηκε επίσης το MDSec
κατορθώματα και εργαλεία απόδειξης της ιδέας
που μπορεί να χρησιμοποιηθεί για σάρωση για παρουσίες Arcserve UDP με προεπιλεγμένη διαμόρφωση σε τοπικά δίκτυα, καθώς και για ανάκτηση και αποκρυπτογράφηση διαπιστευτηρίων αξιοποιώντας την παράκαμψη ελέγχου ταυτότητας στη διεπαφή διαχείρισης.
“Εάν ο εισβολέας είναι τοποθετημένος στο τοπικό δίκτυο, μπορούν να πραγματοποιηθούν σαρώσεις για την εύρεση παρουσιών χρησιμοποιώντας προεπιλεγμένες διαμορφώσεις χρησιμοποιώντας το ArcServeRadar.py,” MDSec
εξηγεί
.
“Τέλος, εάν η έκδοση ArcServe δεν είχε επιδιορθωθεί (CVE-2023-26258), είναι δυνατή η εκμετάλλευση μιας παράκαμψης ελέγχου ταυτότητας στη διεπαφή ιστού διαχείρισης και η ανάκτηση των πιστώσεων διαχειριστή (ArcServe-exploit.py). Όλοι οι κωδικοί πρόσβασης που ανακτήθηκαν από τα εργαλεία μπορεί να αποκρυπτογραφηθεί χρησιμοποιώντας το ArcServeDecrypter.exe.”
Ενώ ο MDsec αντάλλαξε περισσότερα από δώδεκα μηνύματα με την ομάδα του Arcserve κατά τη διαδικασία αποκάλυψης και ρωτήθηκε πώς ήθελαν να πιστωθούν, η τελευταία γραμμή στο χρονοδιάγραμμα αποκάλυψης που κοινοποιήθηκε στο τέλος της αναφοράς λέει: “Το ArcServe κυκλοφορεί την ενημέρωση κώδικα χωρίς πιστώσεις. “
Η Arcserve λέει ότι τα προϊόντα προστασίας δεδομένων της συμβάλλουν στην προστασία των δεδομένων περίπου 235.000 πελατών σε 150 χώρες.
