Lug 03, 2023 Marina Londei Minacce, News, RSS, Vulnerabilità 0

I ricercatori di MDSec hanno individuato una vulnerabilità critica presente in Unified Data Protection (UDP), un software di backup di ArcServe. La vulnerabilità, identificata come CVE-2023-26258, colpisce l’interfaccia di gestione web del software e permette agli attaccanti di accedere all’interfaccia di amministrazione.

Secondo l’analisi dei ricercatori, il bug di authentication bypass risiede nel flusso di richieste HTTP e in particolare nel modo in cui vengono scambiate le informazioni di log tra l’interfaccia web di amministratore e il browser.

Nel dettaglio, analizzando le richieste HTTP durante il login è emerso che, per validare l’utente, viene creato un client che si comporta come un proxy per comunicare con un WebService pensato per la validazione delle credenziali. La posizione del WebService è ottenibile da un oggetto serializzato scambiato nel body della richiesta; modificando la request in transito si possono alterare i valori dell’oggetto e far in modo che il client-proxy contatti un server controllato dall’attaccante.

ArcServe – Credits: Gorodenkoff – Deposiphotos

Nella POC condivisa dai ricercatori, il team è riuscito a comunicare col WebService e ottenere il cookie relativo alla sessione di amministratore utilizzando uno UUID ottenuto durante le comunicazioni; il cookie gli ha permesso poi di ottenere la password cifrata relativa all’account coinvolto.

Il team di MDSec è riuscito inoltre a costruire un decrypter facilmente implementabile anche dagli attaccanti. MDSec sottolinea è anche possibile ottenere le credenziali di amministratore sia effettuando delle query sul database, sia dal Windows Registry; in entrambi i casi, però, l’attaccante deve possedere determinati privilegi ed essersi autenticato con altre credenziali.

I ricercatori avevano individuato la vulnerabilità lo scorso febbraio e lo avevano comunicato ad ArcServe, condividendo anche la POC. Dopo alcuni scambi, ArcServe aveva cominciato a lavorare su una patch che è stata infine pubblicata lo scorso 27 giugno, senza però dare il merito della scoperta a MDSec.