Отсутствие аутентификации Telerik — новая функциональная возможность

Уязвимости ‎Telerik‏ ‎Report ‎Server, ‎идентифицированные ‎как ‎CVE-2024-4358 и‏ ‎CVE-2024-1800, позволяют ‎злоумышленникам,‏ ‎не‏ ‎прошедшим ‎проверку ‎подлинности,‏ ‎выполнять ‎произвольный‏ ‎код ‎на ‎уязвимых ‎серверах.

Схема‏ ‎атаки

📌Первоначальный‏ ‎доступ: злоумышленник ‎идентифицирует‏ ‎уязвимый ‎экземпляр‏ ‎сервера ‎отчетов ‎Telerik.

📌Использование ‎CVE-2024-4358: Злоумышленник ‎отправляет‏ ‎обработанный‏ ‎запрос ‎на‏ ‎конечную ‎точку‏ ‎/Startup/Register ‎для ‎создания ‎новой ‎учетной‏ ‎записи‏ ‎администратора.

📌Повышение‏ ‎привилегий: ‎Злоумышленник‏ ‎входит ‎в‏ ‎систему, ‎используя‏ ‎только‏ ‎что ‎созданную‏ ‎учетную ‎запись ‎администратора.

📌Использование ‎CVE-2024-1800: ‎Злоумышленник‏ ‎создает ‎вредоносный‏ ‎отчет,‏ ‎который ‎использует ‎уязвимость‏ ‎десериализации ‎для‏ ‎выполнения ‎произвольного ‎кода.

📌Выполнение ‎команды:‏ ‎Злоумышленник‏ ‎выполняет ‎произвольные‏ ‎команды ‎на‏ ‎сервере, ‎добиваясь ‎удаленного ‎выполнения ‎кода.

Сценарий‏ ‎атаки

Идентификация‏ ‎цели:

📌Злоумышленник ‎идентифицирует‏ ‎уязвимый ‎экземпляр‏ ‎сервера ‎отчетов ‎Telerik, ‎как ‎правило,‏ ‎путем‏ ‎сканирования‏ ‎общедоступных ‎экземпляров‏ ‎с ‎помощью‏ ‎таких ‎инструментов,‏ ‎как‏ ‎Shodan.

Обход ‎проверки‏ ‎подлинности ‎(CVE-2024-4358):

📌Злоумышленник ‎использует ‎уязвимость ‎в‏ ‎мастере ‎настройки‏ ‎сервера‏ ‎отчетов ‎Telerik ‎для‏ ‎обхода ‎проверки‏ ‎подлинности. ‎Эта ‎уязвимость ‎позволяет‏ ‎злоумышленнику‏ ‎создать ‎новую‏ ‎учетную ‎запись‏ ‎администратора ‎без ‎предварительной ‎проверки ‎подлинности.

📌Конкретной‏ ‎используемой‏ ‎конечной ‎точкой‏ ‎является ‎Telerik.ReportServer.Web.dll!‏ ‎Telerik.ReportServer.Web.Controllers.StartupController.Register, ‎которая ‎не ‎проверяет, ‎был‏ ‎ли‏ ‎процесс‏ ‎установки ‎уже‏ ‎завершен.

📌Злоумышленник ‎отправляет‏ ‎созданный ‎HTTP-запрос‏ ‎на‏ ‎конечную ‎точку‏ ‎/Startup/Register ‎для ‎создания ‎новой ‎учетной‏ ‎записи ‎администратора:

curl‏ ‎'http://TARGET_HERE/Startup/Register'‏ ‎-d ‎'Username=USERNAME_HERE& ‎Password=PASSWORD_HERE&‏ ‎ConfirmPassword=PASSWORD_HERE& ‎Email=backdoor%http://40admin.com&‏ ‎FirstName=backdoor& ‎LastName=user'

Создание ‎учетной ‎записи‏ ‎и‏ ‎проверка ‎подлинности:

📌После‏ ‎успешной ‎эксплуатации‏ ‎злоумышленник ‎получает ‎привилегированный ‎доступ ‎к‏ ‎серверу‏ ‎отчетов ‎Telerik,‏ ‎используя ‎только‏ ‎что ‎созданную ‎учетную ‎запись ‎администратора.

📌Злоумышленник‏ ‎входит‏ ‎в‏ ‎систему, ‎используя‏ ‎учетные ‎данные‏ ‎учетной ‎записи‏ ‎backdoor,‏ ‎созданной ‎на‏ ‎предыдущем ‎шаге.

Эксплойт ‎десериализации ‎(CVE-2024-1800):

📌Имея ‎административный‏ ‎доступ, ‎злоумышленник‏ ‎использует‏ ‎уязвимость ‎десериализации ‎на‏ ‎сервере ‎отчетов‏ ‎Telerik ‎для ‎выполнения ‎произвольного‏ ‎кода‏ ‎на ‎сервере.

📌Злоумышленник‏ ‎создает ‎вредоносный‏ ‎отчет, ‎который ‎запускает ‎ошибку ‎десериализации,‏ ‎позволяя‏ ‎выполнять ‎произвольные‏ ‎команды ‎на‏ ‎сервере.

📌Скрипт ‎PoC ‎автоматизирует ‎этот ‎процесс,‏ ‎включая‏ ‎генерацию‏ ‎случайных ‎имен‏ ‎пользователей ‎и‏ ‎паролей ‎для‏ ‎бэкдорской‏ ‎учетной ‎записи‏ ‎и ‎создание ‎отчета ‎о ‎вредоносных‏ ‎программах:

python ‎http://CVE-2024-4358.py --target‏ ‎http://192.168.253.128:83 -c‏ ‎«whoami»