0
0
Uma vulnerabilidade de desvio de autenticação (CVE-2023-26258) na solução de proteção de dados corporativos do Arcserve Unified Data Protection (UDP) pode ser explorada para comprometer contas de administrador e assumir instâncias vulneráveis, descobriram os pesquisadores do MDSec Juan Manuel Fernández e Sean Doherty – e lançaram um exploit PoC para isso.
CVE-2023-26258, uma exploração de PoC e ferramentas adicionais
CVE-2023-26258 foi descoberto durante uma simulação de um ataque de ransomware.
“A [equipe vermelha do MDSec ActiveBreach estava] tentando comprometer a infraestrutura de backup da organização”, explicaram os pesquisadores.
“Poucos minutos após a análise do código [ArcServe UDP], foi descoberto um desvio de autenticação crítico que permitia o acesso à interface de administração.”
Eles detalharam o processo de exploração e publicaram ferramentas e um exploit PoC que pode ser usado (por pentesters na rede local) para:
- Localizar instâncias do Arcserve UDP com configuração padrão (e credenciais de banco de dados padrão)
- Explorar a vulnerabilidade para obter uma sessão de administrador válida e
- Recuperar credenciais de administrador criptografadas e descriptografá-las
“Mesmo que a vulnerabilidade seja corrigida, é possível obter as credenciais do usuário administrador de diferentes maneiras. Claro, todos eles implicam certos privilégios ou credenciais padrão”, acrescentaram.
Patches estão disponíveis
“No momento, a Arcserve não está ciente de nenhuma tentativa ativa de explorar essa vulnerabilidade”, disse a empresa na terça-feira, quando divulgou correções para a falha.
CVE-2023-26258 afeta Arcserver UDP versões 7.0 a 9.0 – UDP 6.x e versões mais antigas não são afetadas. A vulnerabilidade também não afeta o Agente Linux do Arcserve UDP.
A vulnerabilidade pode ser corrigida atualizando para uma das versões fixas ou implementando patches (se a atualização não for imediatamente possível).
“Recomendamos fortemente que todos os usuários atualizem para o UDP 9.1 (Windows) – o que pode ser feito por meio de atualização automática interna no UDP versão 9 ou usando a compilação 9.1 RTM para novas implantações e versões antigas”, aconselha a empresa.
“Ao usar os patches manuais, eles precisam ser executados individualmente em cada nó do Windows. Deve ser dada prioridade a qualquer RPS que esteja exposto em portas públicas de internet.”
De acordo com o cronograma de divulgação do MDSec, levou mais de quatro meses para que a Arcserve concluísse as descobertas dos pesquisadores e divulgasse os patches, inicialmente sem creditar a descoberta da vulnerabilidade a Fernández e Doherty. Desde então, corrigiram essa fiscalização.
FONTE: HELPNET SECURITY