Güvenlik araştırmacıları, Progress Telerik Rapor Sunucularında kimlik doğrulaması yapılmadan uzaktan kod yürütülmesini sağlamak için iki güvenlik açığını (CVE-2024-4358, CVE-2024-1800) birbirine zincirleyen bir kavram kanıtlama (PoC) istismarı yayınladı.
Telerik Rapor Sunucusu, rapor oluşturma, yönetim, depolama ve dağıtım/dağıtım için merkezi bir kurumsal platformdur.
Censys’in bu yılın başlarında belirttiği gibi, “uzaktan erişimi olan ve böyle bir varlık üzerinde kötü amaçlı kod yürütme becerisine sahip bir saldırgan, bu tür bir saldırganın yalnızca raporlama işlevine müdahale etmesine değil, aynı zamanda kurbanın ağını daha iyi anlamasına veya bu tür bir varlık üzerinde daha fazla erişim elde etmesine de olanak tanıyabilir.” Active Directory entegrasyonu. Böyle bir saldırı, saldırganlar için kurban örgüte karşı bir başlangıç noktası veya başlangıç görevi görebilir.”
Güvenlik açıkları hakkında
CVE-2024-1800, kimliği doğrulanmış uzaktaki saldırganların savunmasız Telerik kurulumlarında, yani 2024 Q1’den (v10.0.24.130) önceki sürümlerde rastgele kod yürütmesine olanak tanıyan, güvenli olmayan bir seri durumdan çıkarma güvenlik açığıdır.
İsimsiz bir araştırmacı tarafından rapor edilen sorun, bu yılın başlarında Progress Software tarafından düzeltildi.
Bu güvenlik açığının var olduğu ancak bundan faydalanılmadan önce başarılı bir kimlik doğrulaması gerektirdiği gerçeği, Summoning Team’den güvenlik açığı araştırmacısı Sina Kheirkhah tarafından bir meydan okuma olarak ele alındı. Summoning Team, saldırganların bu güvenlik açığını ortadan kaldırmasına olanak tanıyan bir güvenlik açığını (CVE-2024-4358) aradı ve keşfetti. bu gereksinimle.
“Register yönteminin uygulanmasında belirli bir kusur var. Sorun, geçerli yükleme adımının doğrulanmamasından kaynaklanmaktadır. Bir saldırgan, sistemdeki kimlik doğrulamayı atlamak için bu güvenlik açığından yararlanabilir” diyor Zero Day Initiative tavsiye belgesi.
Veya Kheirkhah’ın daha basit bir şekilde açıkladığı gibi: “Sunucunun ilk kez kurulumundan sorumlu olan uç noktaya, yönetici kurulum işlemini tamamladıktan sonra bile kimlik doğrulaması yapılmadan erişilebilir.”
Her iki güvenlik açığı da ZDI aracılığıyla Progress Software’e bildirildi ve Progress, Mayıs ayında Telerik Report Server 2024 Q2 (v10.1.24.514) yayınlanarak CVE-2024-4358’i düzeltti.
Etik hacker Soroush Dalili’nin yardımıyla Kheirkhah, CVE-2024-4358’i ve ardından CVE-2024-1800’ü tetikleyen bir PoC istismarı tasarladı. Pazartesi günü GitHub’da yayınladı ve CVE-2024-4358’in ayrıntılı bir temel neden analizini yayınladı.
En kısa sürede yükseltin!
Kurumsal yöneticilerin Telerik kurulumlarını hızlı bir şekilde yükseltmeleri önerilir. CVE-2024-1800 yalnızca güncelleme yoluyla takılabilirken, CVE-2024-4358’in kötüye kullanılması riski, bir URL Yeniden Yazma tekniği (danışma belgesinde açıklandığı gibi) uygulanarak geçici olarak azaltılabilir.
Progress Software ayrıca yöneticilere, şu tarihte eklemedikleri yeni Yerel kullanıcılar için Rapor Sunucusu kullanıcı listesini incelemelerini tavsiye etti: {ana bilgisayar}/Kullanıcılar/Dizin.
Güvenlik Açığı İlerliyor’un kurumsal çözümleri geçmişte saldırganlar tarafından hedef alınmıştı.
MOVEit Transfer sıfır günü (CVE-2023-34362), Cl0p fidye yazılımı çetesi tarafından 2.700’den fazla kuruluşun verilerini çalmak için kötü bir şekilde istismar edildi.
Daha sonra, geçen yılın sonlarında saldırganlar, bunlardan birinin PoC kodunun halka açıklanmasından yalnızca birkaç gün sonra WS_FTP Sunucusundaki (başka bir Progress güvenli dosya aktarım çözümü) iki kritik güvenlik açığından yararlanmaya başladı.