Różności i nowinki technologia

SolarWinds łata luki, które mogą pozwolić na pełną kontrolę systemu

SolarWinds łata luki, które mogą pozwolić na pełną kontrolę systemu

Getty Images

SolarWinds, wcześniej mało znana firma, której narzędzie do monitorowania sieci Orion było głównym wektorem jednego z najpoważniejszych włamań w historii Stanów Zjednoczonych, wypchnęła poprawki trzech poważnych luk w zabezpieczeniach.

Martin Rakhmanov, badacz z Trustwave SpiderLabs, powiedział w środowym poście na blogu, że zaczął analizować produkty SolarWinds wkrótce po tym, jak FireEye i Microsoft poinformowali, że hakerzy przejęli kontrolę nad systemem rozwoju oprogramowania SolarWinds i wykorzystali go do dystrybucji aktualizacji z archiwizacją wśród klientów Orion. Nie zajęło mu dużo czasu znalezienie trzech luk w zabezpieczeniach, dwóch w Orionie i trzeciej w produkcie znanym jako Serv-U FTP dla Windows. Nie ma dowodów, że którakolwiek z luk została wykorzystana na wolności.

Najpoważniejsza wada umożliwia nieuprzywilejowanym użytkownikom zdalne wykonanie kodu, który przejmuje pełną kontrolę nad bazowym systemem operacyjnym. Wykrywana jako CVE-2021-25274 luka wynika z wykorzystania przez firmę Orion Microsoft Message Queue, narzędzia, które istnieje od ponad 20 lat, ale nie jest już instalowane domyślnie na komputerach z systemem Windows.

Trudno przegapić

Gdy Rachmanow przeglądał konsolę zarządzania komputerem w systemie Windows, szybko przejął następujące uprawnienia bezpieczeństwa dla jednej z kilkudziesięciu włączonych prywatnych kolejek:

Trustwave SpiderLabs

„Trudno przeoczyć tę tarczę ostrzegawczą, która pokazuje, że kolejka, podobnie jak wszystkie kolejki, jest nieuwierzytelniona” – napisał badacz. „Krótko mówiąc, nieuwierzytelnieni użytkownicy mogą wysyłać wiadomości do takich kolejek przez port TCP 1801. Zaciekawiło mnie to i wskoczyłem, aby spojrzeć na kod obsługujący wiadomości przychodzące. Niestety okazało się, że jest to niebezpieczna ofiara deserializacji ”.

Trustwave SpiderLabs tak opisała usterkę w osobnym poradniku:

Usługa kolektora SolarWinds korzysta z usługi MSMQ (Microsoft Message Queue) i nie ustawia uprawnień do swoich prywatnych kolejek. W rezultacie zdalni nieuwierzytelnieni klienci mogą wysyłać komunikaty, które przetworzy usługa Collector Service. Dodatkowo po przetworzeniu takich komunikatów usługa deserializuje je w niezabezpieczony sposób, umożliwiając zdalne wykonanie dowolnego kodu jako LocalSystem.

Poświadczenia bazy danych dla wszystkich

Druga luka w zabezpieczeniach Oriona, śledzona jako CVE-2021-25275, jest wynikiem przechowywania przez Orion poświadczeń bazy danych w niezabezpieczony sposób. W szczególności Orion przechowuje dane uwierzytelniające w pliku, który może odczytać nieuprzywilejowani użytkownicy. Rachmanow żartobliwie nazwał to „Poświadczenia bazy danych dla wszystkich”.

Podczas gdy pliki kryptograficznie chronią hasła, badaczowi udało się znaleźć kod, który przekształca hasło w zwykły tekst. Wynik: każdy, kto może zalogować się do skrzynki lokalnie lub za pośrednictwem protokołu Remote Desktop Protocol, może uzyskać poświadczenia dla SolarWindsOrionDatabaseUser.

„Następnym krokiem jest połączenie się z serwerem Microsoft SQL Server przy użyciu odzyskanego konta. Na tym etapie mamy pełną kontrolę nad bazą danych SOLARWINDS_ORION” – napisał Rachmanow. „Stąd można wykraść informacje lub dodać nowego użytkownika na poziomie administratora do wykorzystania w produktach SolarWinds Orion”.

Utwórz własne konto administratora

Trzecia luka, śledzona jako CVE-2021-25276, znajduje się w serwerze FTP Serv-U dla systemu Windows. Program przechowuje szczegóły każdego konta w osobnym pliku. Pliki te mogą być tworzone przez dowolnego uwierzytelnionego użytkownika systemu Windows.

Rachmanow napisał:

W szczególności każdy, kto może zalogować się lokalnie lub przez Pulpit zdalny, może po prostu upuścić plik, który definiuje nowego użytkownika, a serwer FTP Serv-U automatycznie go odbierze. Następnie, ponieważ możemy utworzyć dowolnego użytkownika FTP Serv-U, sensowne jest zdefiniowanie konta administratora poprzez ustawienie prostego pola w pliku, a następnie ustawienie katalogu domowego na katalog główny dysku C: . Teraz możemy zalogować się przez FTP i odczytać lub zamienić dowolny plik na C: , ponieważ serwer FTP działa jako LocalSystem.

Poprawki dla Orion i Serv-U FTP są dostępne tutaj i tutaj. Osoby, które korzystają z któregokolwiek z tych produktów, powinny jak najszybciej zainstalować poprawki.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook