Patch Now: OpenNMS Bug rouba dados, aciona negação de serviço

Views: 115
0 0
Read Time:3 Minute, 18 Second

Os mantenedores do OpenNMS corrigiram uma vulnerabilidade de alta gravidade nas versões suportadas pela comunidade e baseadas em assinatura do software de monitoramento de rede de código aberto amplamente utilizado.

A vulnerabilidade de injeção de entidade externa XML (XXE) oferece aos invasores uma maneira de exfiltrar dados do sistema de servidor de arquivos OpenNMS, enviar solicitações HTTP arbitrárias para serviços internos e externos e acionar condições de negação de serviço nos sistemas afetados.

Plataforma confiável da Cisco, GigaComm, outros

Pesquisadores da Synopsys descobriram a vulnerabilidade em junho e relataram aos mantenedores do OpenNMS, que lançaram um patch na semana passada.

” O CVE-2023-0871 impacta o Meridian e o Horizon, as versões baseadas em assinatura e suportadas pela comunidade, respectivamente, da plataforma de monitoramento de rede OpenNMS”, disse Ben Ronallo, engenheiro de gerenciamento de vulnerabilidades da Synopsys. “Esta plataforma tem a confiança de empresas como Cisco, GigaComm, Savannah River Nuclear Solutions (SRNS), bem como outras nos Setores de Infraestrutura Crítica da CISA “, acrescenta.

As organizações usam o OpenNMS para monitorar suas redes locais e distribuídas para uma variedade de usos, incluindo gerenciamento de desempenho, monitoramento de tráfego, detecção de falhas e geração de alarmes. A plataforma baseada em Java oferece suporte ao monitoramento de redes físicas e virtuais, aplicativos, servidores, indicações de desempenho de negócios e métricas personalizadas.

A versão gratuita do OpenNMS Horizon é um projeto voltado para a comunidade que inclui muitos dos mesmos recursos da versão OpenNMS Meridian baseada em assinatura. No entanto, falta o suporte e os ciclos de lançamento e atualização mais fáceis disponíveis com a versão de assinatura.

Analisador de XML permissivo

De acordo com a Synopsys , o CVE-2023-0871 deriva de uma configuração de analisador XML permissiva que torna o analisador propenso a ataques de entidades externas XML. Uma configuração do analisador XML é permissiva se, por exemplo, permitir que arquivos externos e URLs sejam referenciados dentro do XML. As vulnerabilidades XXE, como as descobertas pela Synopsys, permitem que um invasor interfira essencialmente no processamento de dados XML de um aplicativo.

“CVE-2023-0871 é um ataque de injeção XXE, que aproveita as credenciais padrão para a API REST do Realtime Console (RTC)”, diz Ronallo. “Este ataque modifica dados XML confiáveis ​​ao antecipar como os dados são processados.” Isso permite que um invasor comprometa potencialmente outros sistemas físicos e/ou virtuais, visualize arquivos no sistema que executa o aplicativo vulnerável ou faça solicitações HTTP para outros sistemas por meio de falsificação de solicitação do lado do servidor (SSRF), observa ele.

O projeto OpenNMS descreveu a vulnerabilidade como afetando o OpenNMS Horizon 31.0.8 e versões anteriores a 32.0.2 em várias plataformas. Os mantenedores do projeto instaram as organizações que usam as versões afetadas do software a atualizar para Meridian 2023.1.6, 2022.1.19, 2021.1.30, 2020.1.38 ou Horizon 32.0.2 ou mais recente. O alerta lembrou as organizações de não tornar o OpenNMS acessível diretamente pela Internet e de garantir que ele seja instalado e usado apenas com a rede interna da organização.

“Assumindo que os usuários da plataforma sigam a recomendação do OpenNMS de instalar apenas em redes privadas, a probabilidade de sucesso desse ataque é reduzida a pessoas mal-intencionadas”, diz Ronallo. Isso pode incluir um usuário comprometido ou um funcionário descontente. “No entanto, se explorada com sucesso, esta vulnerabilidade pode levar ao comprometimento do sistema.”

CVE-2023-0871 é uma das várias vulnerabilidades que os pesquisadores descobriram no OpenNMS até agora este ano. Entre os mais sérios estão o CVE-2023-0870 , um problema de falsificação de solicitação entre sites com uma pontuação CVSS de 8,1 e presente em várias versões do OpenNMS Horizon e Meridian e CVE-2023-0846 , um problema não autenticado entre sites vulnerabilidade de script em ambas as versões do OpenNMS.

FONTE: DARKREADING

POSTS RELACIONADOS