MDSec araştırmacıları Juan Manuel Fernández ve Sean Doherty, Arcserve Unified Data Protection (UDP) kurumsal veri koruma çözümündeki bir kimlik doğrulama baypas güvenlik açığının (CVE-2023-26258) yönetici hesaplarını tehlikeye atmak ve güvenlik açığı bulunan örnekleri devralmak için kullanılabileceğini keşfettiler ve bunu başardılar. bunun için bir PoC istismarı yayınladı.
CVE-2023-26258, bir PoC istismarı ve ek araçlar
CVE-2023-26258, bir fidye yazılımı saldırısı simülasyonu sırasında keşfedildi.
“ [MDSec ActiveBreach red team was] kuruluşun yedekleme altyapısından ödün vermeye çalışmak,” diye açıkladı araştırmacılar.
“Analizden birkaç dakika sonra [ArcServe UDP] kod, yönetim arayüzüne erişime izin veren kritik bir kimlik doğrulama atlaması keşfedildi.”
İstismar sürecini ve yayınlanmış araçları ve (yerel ağdaki pentester’lar tarafından) aşağıdakiler için kullanılabilecek bir PoC istismarını detaylandırdılar:
- Varsayılan konfigürasyona (ve varsayılan veritabanı kimlik bilgilerine) sahip Arcserve UDP örneklerini bulun
- Geçerli bir yönetici oturumu elde etmek için güvenlik açığından yararlanın ve
- Şifrelenmiş yönetici kimlik bilgilerini alın ve bunların şifresini çözün
“Güvenlik açığı yamalansa bile yönetici kullanıcının kimlik bilgilerinin farklı yollarla elde edilmesi mümkün. Tabii ki, hepsi belirli ayrıcalıkları veya varsayılan kimlik bilgilerini ima ediyor” diye eklediler.
Yamalar mevcut
Şirket Salı günü kusur için düzeltmeler yaptığında, “Şu anda Arcserve, bu güvenlik açığından yararlanmaya yönelik herhangi bir aktif girişimin farkında değil” dedi.
CVE-2023-26258, Arcserver UDP sürüm 7.0 ila 9.0’ı etkiler – UDP 6.x ve daha eski sürümler etkilenmez. Güvenlik açığı, Arcserve UDP Linux Aracısını da etkilemez.
Güvenlik açığı, sabit sürümlerden birine yükseltilerek veya yamalar uygulanarak (yükseltme hemen mümkün değilse) giderilebilir.
Şirket, “Tüm kullanıcıların UDP 9.1’e (Windows) yükseltme yapmasını şiddetle tavsiye ediyoruz – bu, UDP sürüm 9’daki yerleşik otomatik güncelleme yoluyla veya yeni dağıtımlar ve eski sürümler için 9.1 RTM derlemesi kullanılarak yapılabilir.”
“Manuel yamaları kullanırken, bunların her bir Windows düğümünde ayrı ayrı çalıştırılması gerekir. Halka açık internet bağlantı noktalarında açığa çıkan herhangi bir RPS’ye öncelik verilmelidir.”
MDSec’in ifşa zaman çizelgesine göre, Arcserve’in araştırmacıların bulgularını onaylaması ve yamaları yayınlaması, başlangıçta Fernández ve Doherty’deki güvenlik açığı keşfine itibar etmeksizin dört aydan fazla sürdü. O zamandan beri bu gözetimi düzelttiler.