Veri koruma satıcısı Arcserve, Birleşik Veri Koruma (UDP) yedekleme yazılımında, saldırganların kimlik doğrulamasını atlamasına ve yönetici ayrıcalıkları kazanmasına izin verebilecek yüksek önem dereceli bir güvenlik açığını ele aldı.
Şirkete göre Arcserve UDP, müşterilerin fidye yazılımı saldırılarını engellemesine, güvenliği ihlal edilmiş verileri geri yüklemesine ve iş sürekliliğini sağlamak için etkili felaket kurtarma sağlamasına yardımcı olmak için tasarlanmış bir veri ve fidye yazılımı koruma çözümüdür.
Arcserve, güvenlik araştırmacıları Juan Manuel Fernandez ve Sean Doherty tarafından MDSec’in ActiveBreach kırmızı ekibiyle birlikte bulunup bildirilmesinden dört ay sonra, 27 Haziran’da güvenlik açığını (CVE-2023-26258 olarak izlenir) düzeltmek için UDP 9.1’i yayınladı.
“Yakın tarihli bir düşman simülasyonu sırasında, MDSec ActiveBreach kırmızı ekibi [was] Araştırmacılar, “Kuruluşun yedekleme altyapısından ödün vermeye yönelik temel bir hedefle bir fidye yazılımı senaryosu gerçekleştiriyor” dedi.
“Kodu analiz ettikten birkaç dakika sonra, yönetim arayüzüne erişime izin veren kritik bir kimlik doğrulama atlaması keşfedildi.”
Arcserve UDP 7.0’dan 9.0’a kadar çalışan sistemlerde, kusur yerel ağdaki saldırganların, geçerli yönetici oturumları elde etmek için AuthUUID’leri içeren SOAP isteklerini yakalayarak şifresi kolay çözülebilen yönetici kimlik bilgilerini aldıktan sonra UDP yönetici arayüzüne erişmesini sağlar.
Yönetici kimlik bilgileri, tehdit aktörlerinin fidye yazılımı saldırılarında yedekleri silerek hedeflerin verilerini yok etmesine izin verebilir.
MDSec ActiveBreach araştırmacıları, hedeflenen sunucu CVE-2023-26258’e zaten yama uygulanmışsa ve varsayılan bir yapılandırma kullanıyorsa yönetici kimlik bilgilerini almak için bir çift varsayılan MSSQL veritabanı kimlik bilgisinin de kullanılabileceğini ekledi.
MDSec ayrıca, yerel ağlarda varsayılan konfigürasyona sahip Arcserve UDP bulut sunucularını taramak ve yönetim arayüzündeki kimlik doğrulama atlamasından yararlanarak kimlik bilgilerini almak ve şifrelerini çözmek için kullanılabilecek kavram kanıtlama açıklarını ve araçlarını da paylaştı.
MDSec, “Saldırgan yerel ağda konumlanmışsa, örnekleri bulmak için ArcServeRadar.py kullanılarak varsayılan yapılandırmalar kullanılarak taramalar yapılabilir” diye açıklıyor.
“Son olarak, ArcServe sürümüne yama uygulanmadıysa (CVE-2023-26258), yönetim web arayüzündeki bir kimlik doğrulama atlamasından yararlanmak ve yönetici kimliklerini (ArcServe-exploit.py) almak mümkündür. Araçlar tarafından alınan tüm şifreler ArcServeDecrypter.exe kullanılarak şifresi çözülebilir.”
MDsec, ifşa sürecinde Arcserve ekibiyle bir düzineden fazla mesaj alışverişinde bulunurken ve kendilerine nasıl itibar edilmek istedikleri sorulurken, raporun sonunda paylaşılan ifşa zaman çizelgesindeki son satırda “ArcServe yamayı kredisiz yayınlıyor. “
Arcserve, veri koruma ürünlerinin 150 ülkede yaklaşık 235.000 müşterinin verilerinin korunmasına yardımcı olduğunu söylüyor.