Ερευνητής προειδοποιεί για ένα PoC exploit που κυκλοφόρησε για κρίσιμη ευπάθεια στο Veeam Recovery Orchestrator.
Η ευπάθεια παρακολουθείται ως CVE-2024-29855 και επιτρέπει την παράκαμψη ελέγχου ταυτότητας. Χάρη στο PoC exploit που αναπτύχθηκε από τον ερευνητή ασφαλείας Sina Kheirkhah, αυξάνονται οι πιθανότητες εκμετάλλευσης. Μάλιστα, έχει δημοσιευτεί και μια λεπτομερής ανάρτηση σχετικά με την ευπάθεια και την εκμετάλλευσή της.
Veeam Recovery Orchestrator: Παράκαμψη ελέγχου ταυτότητας
Η ευπάθεια CVE-2024-29855 θεωρείται κρίσιμη με βαθμολογία 9/10. Επιτρέπει την παράκαμψη ελέγχου ταυτότητας και επηρεάζει τις εκδόσεις 7.0.0.337 και 7.1.0.205 και παλαιότερες του Veeam Recovery Orchestrator (VRO).
Δείτε επίσης: Veeam: Κυκλοφόρησε PoC exploit για κρίσιμη ευπάθεια στο VBEM
Το ελάττωμα επιτρέπει σε μη επαληθευμένους εισβολείς να συνδεθούν στο web UI του Veeam Recovery Orchestrator, με δικαιώματα διαχειριστή.
Το πρόβλημα προκύπτει από τη χρήση ενός hardcoded JSON Web Token (JWT) secret, το οποίο επιτρέπει στους εισβολείς να δημιουργούν έγκυρα JWT tokens για οποιονδήποτε χρήστη, συμπεριλαμβανομένων των διαχειριστών.
Το ενημερωτικό δελτίο της Veeam συνιστά την αναβάθμιση στις επιδιορθωμένες εκδόσεις 7.1.0.230 και 7.0.0.379 για προστασία από την ευπάθεια. Αναφέρει, επίσης, τις προϋποθέσεις που απαιτούνται για την εκμετάλλευση του σφάλματος, οι οποίες περιλαμβάνουν τη γνώση ενός έγκυρου ονόματος χρήστη και ρόλου και τη στόχευση ενός χρήστη με active session.
«Ο εισβολέας πρέπει να γνωρίζει το ακριβές όνομα χρήστη και τον ρόλο ενός λογαριασμού που διαθέτει VRO UI access token, για να πραγματοποιήσει την παραβίαση», αναφέρει η Veeam.
Ωστόσο, στο PoC exploit για την ευπάθεια στο Veeam Recovery Orchestrator, ο ερευνητής Kheirkha λέει ότι ορισμένες από αυτές τις προϋποθέσεις μπορούν να παρακαμφθούν, καθιστώντας την εκμετάλλευση πιο εύκολη.
Ρόλος
Ο Kheirkhah διαπίστωσε ότι ο καθορισμός του ρόλου μπορεί εύκολα να παρακαμφθεί, καθώς υπάρχουν μόνο λίγοι ρόλοι (DRSiteAdmin, DRPlanAuthor, DRplanOperator και SiteSetupOperator).
Δείτε επίσης: Kyndryl και Veeam συνεργάζονται για υπηρεσίες κυβερνοασφάλειας
Το script εκμετάλλευσης σχεδιάστηκε για να επαναλαμβάνεται μεταξύ αυτών των ρόλων κατά τη δημιουργία JWT tokens, μέχρι να γίνει το match.
Όνομα χρήστη
Για την εύρεση ενός ονόματος χρήστη για την επίθεση, ο ερευνητής σημειώνει ότι το πιστοποιητικό SSL, που λαμβάνεται απλώς με σύνδεση στο τελικό σημείο στόχου, περιέχει συνήθως αρκετές ενδείξεις για την εξαγωγή του domain και πιθανών ονομάτων χρήστη (για token spraying attack).
Active session
Τέλος, όσον αφορά την απαίτηση “active session“, το PoC script του Kheirkhah δημιουργεί και δοκιμάζει JWT tokens σε μια σειρά χρονικών σημάνσεων για να αυξήσει τις πιθανότητες επίτευξης ενός ενεργού session.
Καθώς το exploit για την ευπάθεια Veeam Recovery Orchestrator είναι πλέον διαθέσιμο στο κοινό, οι εισβολείς θα αρχίσουν πολύ σύντομα τις επιθέσεις. Επομένως, η άμεση εφαρμογή των διαθέσιμων ενημερώσεων ασφαλείας είναι ζωτικής σημασίας.
Οι οργανισμοί θα πρέπει να εκλάβουν αυτό το exploit ως μια κλήση αφύπνισης για να δίνουν πάντα προτεραιότητα στην άμεση εφαρμογή ενημερώσεων ασφαλείας. Η αναμονή για την αντιμετώπιση των τρωτών σημείων μπορεί να αφήσει συστήματα και ευαίσθητα δεδομένα σε κίνδυνο.
Δείτε επίσης: Το Black Basta ransomware εκμεταλλευόταν Windows zero-day ευπάθεια
Επιπλέον, οι οργανισμοί θα πρέπει να διενεργούν τακτικά ελέγχους ασφαλείας και penetration tests για να αποκαλύψουν πιθανές ευπάθειες προτού μπορέσουν να τις εκμεταλλευτούν οι εισβολείς. Αυτή η προληπτική προσέγγιση μπορεί να βοηθήσει στην πρόληψη τέτοιων επιθέσεων από την πρώτη στιγμή.
Τέλος, είναι σημαντικό για τους οργανισμούς να υιοθετούν ένα ισχυρό security culture και να ενθαρρύνουν τους υπαλλήλους να αναφέρουν οποιαδήποτε ύποπτη δραστηριότητα ή ευπάθεια που μπορεί να συναντήσουν. Με το συνεχώς εξελισσόμενο τοπίο των απειλών στον κυβερνοχώρο, είναι απαραίτητο για τους οργανισμούς να παραμείνουν σε εγρήγορση και να προστατεύουν τα συστήματα και τα δεδομένα τους.
Πηγή: www.bleepingcomputer.com