0
0
Três vulnerabilidades de segurança podem ser encadeadas para permitir a execução de código remoto não autenticado.
O Unity Orchestrator de Silver Peak, uma plataforma de gerenciamento WAN (SD-WAN) definida por software, sofre de três bugs remotos de segurança de execução de código que podem ser acorrentados para permitir a aquisição da rede por invasores não autenticados.
O SD-WAN é uma abordagem de rede baseada em nuvem usada por empresas e empresas de multilocação de todos os tamanhos. Ele permite que locais e instâncias de nuvem sejam conectados entre si e aos recursos da empresa sobre qualquer tipo de conectividade. E, aplica o controle de software para gerenciar esse processo, incluindo a orquestração de recursos e não. Essa orquestração é geralmente centralizada através de uma plataforma de visão única – neste caso, o Unity Orchestrator, que Silver Peak disse ter cerca de 2.000 implantações.
De acordo com pesquisadores da Realmode Labs, os três bugs são um bypass de autenticação, caminho de exclusão de arquivos e uma execução arbitrária de consulta SQL, que pode ser combinada para executar código arbitrário.
Os atacantes primeiro contornariam a autenticação para entrar na plataforma e, em seguida, procurariam um arquivo sendo executado pelo servidor web, observou a empresa. Em seguida, eles podem excluí-lo usando o problema de travessia de caminho de exclusão de arquivo, substituindo-o por uma de suas escolhas usando a execução de consulta SQL. Então tudo o que é necessário é executar o arquivo para executar qualquer código ou malware que eles gostariam.
“Na melhor das hipóteses, um invasor pode usar essas vulnerabilidades para interceptar ou orientar o tráfego”, disse Ariel Tempelhof, co-fundador e CEO da Realmode, em um post no Medium nesta semana. “No entanto, se um invasor desejar, ele pode, em vez disso, desligar toda a rede internacional de uma empresa.”
Detalhes do bug
Os problemas estão presentes nas versões do Silver Peak Unity Orchestrator antes de 8.9.11+, 8.10.11+, ou 9.0.1+. As instâncias orquestradoras hospedadas pelos clientes – no local ou em um provedor de nuvem pública – são afetadas, disse Silver Peak. Os patches estão disponíveis.
Quanto às especificidades técnicas, o bypass de autenticação (CVE-2020-12145) existe na maneira como o Unity lida com chamadas de API.
“[As plataformas afetadas usam] cabeçalhos HTTP para autenticar chamadas de API REST do localhost”, de acordo com o aviso de segurançado Silver Peak. “Isso permite fazer login no Orchestrator introduzindo um cabeçalho HTTP HOST definido para 127.0.0.1 ou localhost.
Essencialmente, isso significa que nenhuma autenticação significativa é realizada quando as chamadas se originam do localhost, de acordo com Tempelhof.
“A verificação local está sendo realizada [assim]: request.getBaseUri().getHost().equals(“localhost”)”, explicou. “Qualquer solicitação com ‘localhost’ como seu cabeçalho http host satisfará esta verificação. Isso pode ser facilmente forjado em solicitações remotas, é claro.”
O problema de travessia de caminho (CVE-2020-12146) entretanto existe porque quando um arquivo hospedado localmente é excluído, nenhuma verificação de travessia de caminho é feita.
“Um usuário autenticado pode acessar, modificar e excluir arquivos restritos no servidor Orchestrator usando a API/debugFiles REST”, de acordo com Silver Peak.
Tempelhof elaborou: “Alguns dos pontos finais da API, que agora são acessíveis graças ao bypass de autenticação, permitem que a capacidade de carregar logs de depuração para um balde S3 seja examinada pelo Silver Peak. Este mecanismo prepara os registros, os carrega e exclui o arquivo hospedado localmente. O /gms/rest/debugFiles/delete endpoint executando a exclusão não verifica se há travessia de caminho, criando a capacidade de excluir qualquer arquivo no sistema (se as permissões permitirem).”
E o problema final, o bug de execução de consulta SQL (CVE-2020-12147), permite que um usuário autenticado faça consultas mySQL não autorizadas contra o banco de dados do Orchestrator, usando a API /sqlExecution REST, de acordo com Silver Peak. Essas consultas sql arbitrárias são possíveis graças a um ponto final especial de API que tinha sido usado para testes internos.
“O ponto final /gms/rest/sqlExecution pode ser aproveitado para uma gravação de arquivo arbitrário utilizando uma cláusula INTO DUMPFILE”, explicou Tempelhof, acrescentando que, embora o INTO DUMPFILE não permita a substituição de um arquivo diretamente, os atacantes podem usar o bug de travessia de caminho para primeiro excluir o arquivo e depois reescrevê-lo.
A Realmode relatou as vulnerabilidades em 9 de agosto, e Silver Peak emitiu patches em 30 de outubro. Nenhuma pontuação de gravidade do CVSS ainda foi atribuída.
Tempelhof disse que sua equipe encontrou falhas semelhantes em três outras empresas SD-WAN (todas agora corrigidas), que serão divulgadas em breve.
“Pesquisamos os quatro principais produtos SD-WAN do mercado eencontramos grandes vulnerabilidades remotas de execução de código”, escreveu ele. “As vulnerabilidades não requerem qualquer autenticação para explorar.”
Os principais fornecedores de SD-WAN tiveram problemas no passado. Por exemplo, em março, a Cisco Systems corrigiu três vulnerabilidades de alta gravidade que poderiam permitir que invasores locais autenticados executasse comandos com privilégios raiz. Um bug semelhante foi encontrado um mês depois no IOS XE da Cisco, uma versão baseada em Linux do IOS (Internetworking Operating System, sistema operacional de internetworking) da Cisco usado em implantações SD-WAN.
E em dezembro passado, um bug crítico de zero-day foi encontrado em várias versões de seus produtos Citrix Application Delivery Controller (ADC) e Citrix Gateway que permitiram a aquisição de aparelhos e RCE, usados em implementações SD-WAN. Ataques in-the-wild e explorações públicas rapidamente se acumularam depois que foi anunciado.
FONTE: THREATPOST