Arcserve, Birleşik Veri Koruma ürününde, saldırganlara yazılımın web yönetim arabirimi üzerinde kontrol sağlayan ve uzaktan kod yürütme (RCE) saldırısına yol açan kritik bir kimlik doğrulama bypass’ı yamaladı.
Araştırmacı Juan Manuel Fernandez (@TheXC3LL) ve MDSec’ten Sean Doherty tarafından keşfedilen CVE-2023-26258, sürüm 7.0 ile 9.0 arasında UDP’yi etkiler ve Arcserve tarafından yamalanmıştır.
İki araştırmacı, istemci ve sunucu arasındaki oturum açma etkileşimlerini keşfederken, authUUID adlı bir değişken ve valideUserByUuid adlı bir yöntem tespit etti.
Daha sonra erişim elde etmek için bu bilgileri kullanabildiler; bu gönderide tanımladıkları gibi, “oturumlu bir çerez” aldılar.
Oradan, araştırmacılar daha sonra yöneticinin şifresini alıp şifresini çözebildiler ve onlara RCE yetenekleri de dahil olmak üzere sistem üzerinde tam kontrol sağladılar.
Fernandez ve Doherty saldırı araçlarını GitHub’da yayınladılar.
MDSec gönderisine göre, ikili bulgularını ilk olarak 9 Şubat’ta Arcserve’e açıkladı ve şirket yamasını 27 Haziran’da yayınladı.
Arcserve, tüm UDP Windows aracılarının ve Kurtarma Noktası Sunucularının manuel olarak veya otomatik bir güncelleme yoluyla 9.1’e yükseltilmesi gerektiğini söyledi.