0
0
Os bugs rastreados como CVE-2020-8271, CVE-2020-8272 e CVE-2020-8273 existem no Citrix SD-WAN Center.
Três bugs de segurança na plataforma SD(SD)-WAN definida pelo software Citrix permitiriam a execução remota de código e a aquisição de rede, de acordo com os pesquisadores.
As falhas afetam o Citrix SD-WAN Center (nas versões 11.2.2, 11.1.2b e 10.2.8). Consistem em um problema de travessia de caminho não autenticado e injeção de conchas em stop_ping (CVE-2020-8271); um bypass de autenticação ConfigEditor (CVE-2020-8272); e um problema de injeção de shell CreateAzureDeployment (CVE-2020-8273). As pontuações de gravidade ainda não foram emitidas.
Nos dois primeiros casos, um invasor deve ser capaz de se comunicar com o endereço IP de gerenciamento do SD-WAN Center ou nome de domínio totalmente qualificado (FQDN), de acordo com a assessoria da Citrix,emitida na semana passada. Para o terceiro, um atacante precisaria ser autenticado.
A primeira vulnerabilidade permite rce não autenticado com privilégios radiculares no Citrix SD-WAN Center, de acordo com a Citrix. Uma redações da Realmode Labs na segunda-feira entrou em mais detalhes sobre onde ela existe.
Para o CVE-2020-8271, “o ponto final /coletor/diagnóstico/stop_ping lê o arquivo /tmp/pid_”, de acordo com ariel Tempelhof, pesquisador da Realmode. “$req_id e usa seu conteúdo em uma chamada shell_exec. Nenhuma higienização é realizada no usuário fornecido $req_id que permite a travessia do caminho. Pode-se soltar um arquivo com conteúdo controlado pelo usuário em qualquer lugar (por exemplo, usando /coletor/licenciamento/upload) e executar um comando shell arbitrário.”
O segundo bug tem a ver com a forma como o CakePHP traduz o URI para parâmetros de função de ponto final. Pode resultar em exposição não autenticada da funcionalidade SD-WAN.
A infraestrutura Citrix SD-WAN funciona no Apache com cakephp2 como a estrutura. Pesquisadores da Realmode encontraram um buraco na forma como a estrutura CakePHP2 lida com URLs. Para isso, a Citrix utiliza a função “_url em CakeRequest.php”.
“Se nossa REQUEST_URI contém? depois de um [ o início da URI será removido”, segundo Tempelhof, em uma postagem de segunda-feira. “Isso causará uma discrepância entre a forma como o Apache vê o URI e como a CakePHP o analisa, o que, por sua vez, nos permite contornar a verificação do certificado do cliente para o ponto final do Coletor.”
Por exemplo, um URI do formulário “aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/://?/coletor/diagnóstico/stop_ping” será traduzido para /coletor/diagnóstico/stop_ping e não exigirá certificado nem autenticação do cliente, disse ele. Isso permite que um invasor não autenticado acesse a funcionalidade ConfigEditor.
Quanto ao terceiro bug, os dados fornecidos pelo usuário estão sendo codificados e concatenados em uma chamada executiva usando o código, disse Tempelhof.
“Em defesa da Citrix, admitiremos que é difícil prever que a CakePHP trataria as URLs da maneira que ela faz”, disse Tempelhof. “É por isso que realizar auditorias de segurança dedicadas em seus produtos é tão importante.”
Na semana passada, a Realmode divulgou três bugs remotos de segurança de execução de código no Silver Peak Unity Orchestrator para SD-WAN. Eles podem ser acorrentados para permitir a aquisição da rede por invasores não autenticados.
Tempelhof disse que sua equipe encontrou falhas semelhantes em mais duas plataformas SD-WAN (todas agora corrigidas), que serão divulgadas em breve.
O SD-WAN é uma abordagem de rede baseada em nuvem usada por empresas e empresas de multilocação de todos os tamanhos. Ele permite que locais e instâncias de nuvem sejam conectados entre si e aos recursos da empresa sobre qualquer tipo de conectividade, e aplica o controle de software para gerenciar esse processo, incluindo a orquestração de recursos e nódulos.
É um segmento de mercado em crescimento, e como tal é de interesse para os cibercriminosos. Infelizmente, os principais fornecedores de SD-WAN tiveram problemas no passado.
Por exemplo, em março, a Cisco Systems corrigiu três vulnerabilidades de alta gravidade que poderiam permitir que invasores locais autenticados executasse comandos com privilégios raiz. Um bug semelhante foi encontrado um mês depois no IOS XE da Cisco, uma versão baseada em Linux do IOS (Internetworking Operating System, sistema operacional de internetworking) da Cisco usado em implantações SD-WAN.
E em dezembro passado, um bug crítico de zero-day foi encontrado em várias versões de seus produtos Citrix Application Delivery Controller (ADC) e Citrix Gateway que permitiram a aquisição de aparelhos e RCE, usados em implementações SD-WAN. Ataques in-the-wild e explorações públicas rapidamente se acumularam depois que foi anunciado.
FONTE: THREATPOST