0
0
Três vulnerabilidades de segurança separadas no aplicativo de conferência na Web de código aberto Apache OpenMeetings podem ser agrupadas em uma cadeia de ataque que permite que agentes de ameaças assumam uma conta de usuário, obtenham privilégios de administrador e, por fim, executem código arbitrário em um servidor executando o aplicativo.
O OpenMeetings pode ser usado para videochamadas, apresentações e outros trabalhos colaborativos e é amplamente implantado em dezenas de milhares de empresas, tanto em instalações na nuvem quanto no local.
O pesquisador de ameaças da SonarSource, Stefan Schiller, delineou as falhas em um relatório na quinta-feira que revelou a ameaça tripla: um bug de comparação de hash fraco rastreado sob CVE-2023-28936; um acesso irrestrito via hash de convite rastreado sob CVE-2023-29023; e um bug de injeção de byte nulo rastreado em CVE-2023-29246.
Os usuários devem atualizar o OpenMeetings para a versão 7.1.0, que inclui uma correção para todas as três falhas.
A comparação de hash fraco do OpenMeetings inicia a cadeia de ataque
O trio de problemas existe no processo de criação e convite da sala do aplicativo. Schiller explicou no relatório que cada vez que um novo convite do OpenMeetings é enviado, uma “sala” virtual individual é gerada, na qual um usuário pode convidar outro usuário. Tanto a sala quanto o usuário recebem hashes gerados aleatoriamente que são exclusivos do usuário e da sala.
A primeira lacuna nesse processo, a comparação de hash fraco, pode ser explorada para permitir acesso não autorizado a um convite do OpenMeetings.
“O hash do convite é um valor longo (por exemplo, 3c6a04c8-f935-4226-90f9-34adbd7b4c2d), que deve ser secreto”, explica Schiller ao Dark Reading. “Apenas alguém que conhece esse valor pode resgatar este convite. Mas se um invasor usar uma pesquisa curinga ao tentar resgatar um convite (por exemplo, 3%, que se traduz em: ‘resgatar o hash do convite começando com o caractere 3’), o invasor poderá facilmente resgatar este convite sem saber o longo valor do segredo.”
Nesse caso, nenhuma autenticação é necessária, ressalta.
Depois que o invasor assume o convite e entra na sala, o segundo bug permite que os invasores criem “salas de zumbis”. Combinado com a primeira vulnerabilidade, isso configura o caminho para a elevação de privilégios e execução remota de código.
Explorando salas de zumbis do OpenMeetings
Schiller observou na análise que “os invasores podem desencadear certas ações em uma ordem inesperada para criar um convite de sala sem uma sala atribuída a ele. Isso resulta em um convite irrestrito para acessar qualquer conta de usuário”.
Essa “ordem inesperada” funciona assim, de acordo com o relatório da SonarSource: um invasor cibernético pode criar um evento, entrar na sala associada ao evento e excluir o evento enquanto permanece na sala.
“Embora a sala também seja excluída quando o evento associado é excluído, a presença do invasor na sala a torna uma sala zumbi”, escreveu Schiller. “Em seguida, o invasor cria um convite para o usuário administrador para esta sala.”
Devido à segunda falha, um usuário com um convite sem sala anexada a ele tem acesso irrestrito a todo o aplicativo. Atores de ameaças podem assumir o convite de administrador que acabaram de criar com o processo descrito acima, resultando em privilégios elevados. Assim, eles ganham a capacidade de alterar as configurações e muito mais, explica Schiller ao Dark Reading.
“Para criar um convite (por exemplo, convidar o usuário administrador para obter seus privilégios), é necessário um usuário registrado”, acrescenta Schiller. “Por padrão, qualquer um pode apenas registrar um usuário, o que não torna isso um obstáculo para um invasor”.
A partir daí, o invasor, armado com direitos de administrador, pode usar o terceiro bug para escapar para o servidor completo no qual o OpenMeetings está hospedado e executar o código remotamente.
“Depois que a terceira vulnerabilidade é explorada, um invasor tem acesso total ao servidor de destino”, adverte Schiller. “Esse acesso não é restrito ao aplicativo OpenMeetings. Em vez disso, o invasor pode acessar quaisquer dados armazenados no servidor, instalar software malicioso (por exemplo, criptomineradores) e migrar para a rede interna.”
Patch OpenMeetings agora
Com o lançamento do OpenMeetings 7.1.0 , a Apache notou melhorias de segurança em hashes de convite, permissões de usuário, caminhos administrativos e muito mais para remediar os pontos fracos. Os patches não são para dormir: sua imagem oficial do Docker foi baixada mais de 50.000 vezes e o OpenMeetings também pode ser implantado como um plug-in para aplicativos como Jira, Confluence ou Drupal. Sua presença e o aumento do uso de aplicativos de colaboração na era do trabalho remoto são fortes atrativos para os agentes de ameaças cibernéticas.
“Sua adoção generalizada e o fato de que pode ser usado para discussões, reuniões e colaborações confidenciais o tornam um alvo atraente para os invasores”, alertou a análise.
FONTE: DARKREADING