Araştırmacılar, Progress Telerik Rapor Sunucularında zincirleme uzaktan kod yürütme (RCE) güvenlik açığını gösteren bir kavram kanıtı (PoC) yararlanma komut dosyası yayınladı.
Telerik Rapor Sunucusu, kuruluşların raporların oluşturulmasını, paylaşılmasını, depolanmasını, dağıtılmasını ve planlanmasını kolaylaştırmak için kullandığı, API destekli, uçtan uca şifrelenmiş bir rapor yönetimi çözümüdür.
Siber güvenlik araştırmacısı Sina Kheirkha, bu istismarı Soroush Dalili’nin yardımıyla geliştirdi ve şimdi, hedefte kod yürütmek için kimlik doğrulama bypass’ı ve seri durumdan çıkarma sorunu olmak üzere iki kusurdan yararlanmanın karmaşık sürecini açıklayan ayrıntılı bir yazı yayınladı.
Sahte yönetici hesapları oluşturma
Kimlik doğrulama atlama kusuru, CVE-2024-4358 (CVSS puanı: 9,8) olarak izleniyor ve kontroller olmadan yönetici hesaplarının oluşturulmasına olanak tanıyor.
Kheirkhah, yazılım satıcısının 25 Nisan’da “düşük ayrıcalıklı” bir kullanıcının yararlanmasını gerektiren bir seri durumdan çıkarma sorununa ilişkin bir hatayı açıklamasının ardından güvenlik açığını keşfetmeye çalıştığını söyledi.
Araştırmacı, ‘StartupController’daki ‘Register’ yöntemine kimlik doğrulaması olmadan erişilebildiğini ve ilk kurulum tamamlandıktan sonra bile bir yönetici hesabı oluşturulmasına izin verdiğini keşfederek kusuru genişletti.
Bu sorun 15 Mayıs’ta bir güncelleme (Telerik Report Server 2024 2. Çeyrek 10.1.24.514) aracılığıyla giderildi ve satıcı 31 Mayıs’ta ZDI ekibiyle bir bülten yayınladı.
RCE’ye ulaşmak için gereken ikinci kusur, kimliği doğrulanmış uzak saldırganların savunmasız sunucularda rastgele kod yürütmesine olanak tanıyan bir seri durumdan çıkarma sorunu olan CVE-2024-1800’dür (CVSS puanı: 8,8).
Bu sorun daha önce keşfedilip anonim bir araştırmacı tarafından satıcıya bildirildi. Progress ise 7 Mart 2024’te Telerik® Report Server 2024 Q1 10.0.24.305 aracılığıyla bu soruna yönelik bir güvenlik güncellemesi yayınladı.
Saldırgan, XML öğelerini .NET türlerine dönüştürmek için karmaşık bir mekanizma kullanan Telerik Rapor Sunucusunun özel seri durumdan çıkarma aracına ‘ResourceDictionary’ öğesi içeren özel hazırlanmış bir XML verisi gönderebilir.
Yükteki özel öğe daha sonra sunucuda ‘cmd.exe’yi başlatmak gibi rastgele komutları yürütmek için ‘ObjectDataProvider’ sınıfını kullanır.
Seri durumdan çıkarma hatasından yararlanmak karmaşık olsa da, Kheirkhah’ın yazıları ve yararlanma Python komut dosyaları kamuya açıktır ve bu durum, hevesli saldırganlar için durumu oldukça basit hale getirir.
Bununla birlikte, kuruluşların mevcut güncellemeleri mümkün olan en kısa sürede uygulamaları, yani her iki kusuru da gideren 10.1.24.514 veya sonraki sürüme yükseltmeleri gerekir.
Satıcı ayrıca, CVE-2024-4358’in aktif olarak kullanıldığına dair herhangi bir rapor olmamasına rağmen, sistem yöneticilerinin, ‘{host}/Users’ dizinine eklenen, tanımadıkları yeni Yerel kullanıcılar için Rapor Sunucusunun kullanıcı listesini incelemeleri gerektiğini tavsiye etti. /Dizin.’
Progress Software’deki kritik kusurlar, dünya çapında çok sayıda kuruluş satıcının ürünlerini kullandığından, genellikle üst düzey siber suçlular tarafından göz ardı edilmez.
En karakteristik durum, Mart 2023’te Clop fidye yazılımı çetesi tarafından Progress MOVEit Transfer platformundaki sıfır gün güvenlik açığından yararlanan kapsamlı bir dizi veri hırsızlığı saldırısıdır.
Bu veri hırsızlığı kampanyası, tarihteki en büyük ölçekli ve etkili gasp operasyonlarından biri haline geldi; 2.770’in üzerinde mağdur oldu ve dolaylı olarak yaklaşık 96 milyon insanı etkiledi.