RCE-эксплойты в Telerik Report Server уже в открытом доступе
05/06/24
Исследователи по кибербезопасности опубликовали PoC-эксплойт, демонстрирующий цепочку уязвимостей для удалённого выполнения кода (RCE) в Telerik Report Server от Progress Software.
Telerik Report Server — это комплексное решение для управления зашифрованными отчётами на базе API, которое организации используют для создания, совместного использования, хранения, распространения и планирования отчётов, пишет Securitylab.
Исследователь по имени Сина Хейрха, при содействии коллеги по цеху Соруша Далили, разработал эксплойты и опубликовал подробное описание по эксплуатации сразу двух уязвимостей: обхода аутентификации и проблемы десериализации.
Уязвимость обхода аутентификации, отслеживаемая как CVE-2024-4358 с оценкой CVSS 9.8, позволяет создавать учётные записи администраторов без проверок. Хейрха обнаружил, что метод «Register» в «StartupController» доступен без аутентификации, что позволяет создавать учётные записи администратора сразу после завершения первоначальной настройки.
Эта проблема была устранена в обновлении Telerik Report Server 2024 Q2 10.1.24.514 от 15 мая, а 31 мая был опубликован бюллетень безопасности от команды Zero Day Iniative (ZDI).
Вторая уязвимость — CVE-2024-1800 с оценкой CVSS 8.8, позволяет удалённым аутентифицированным атакующим выполнять произвольный код на уязвимых серверах. Проблема была обнаружена ранее и сообщена вендору анонимным исследователем.
Используя эту уязвимость, потенциальный атакующий может отправить специально сформированный XML-пакет с элементом «ResourceDictionary» в кастомный десериализатор Telerik Report Server, который преобразует XML-элементы в .NET-типы. Специальный элемент в пакете затем использует класс «ObjectDataProvider» для выполнения произвольных команд на сервере, например, для запуска «cmd.exe».
Обновление безопасности было выпущено 7 марта 2024 года в версии Telerik Report Server 2024 Q1 10.0.24.305.
Хотя эксплуатация уязвимости десериализации сложна, описание и скрипт на Python от Хейрхи делают атаку достаточно понятной для потенциальных злоумышленников. Именно поэтому организациям рекомендуется как можно скорее применить доступные обновления, т.е. обновиться до версии 10.1.24.514 или выше, которые устраняют обе уязвимости.
Администраторам также рекомендуется проверить список пользователей на наличие новых учётных записей, добавленных по адресу»{host}/Users/Index», так как пока не зафиксировано случаев активной эксплуатации CVE-2024-4358.