SolarWinds corrige vulnerabilidades que podrían permitir un control total del sistema


SolarWinds corrige vulnerabilidades que podrían permitir un control total del sistema

imágenes falsas

SolarWinds, la compañía poco conocida cuya herramienta de monitoreo de red Orion fue una de las principales causas de una de las infracciones más graves en la historia de EE. UU., Ha publicado soluciones para tres graves vulnerabilidades de seguridad.

Martin Rakhmanov, investigador de Trustwave SpiderLabs, dijo en una publicación de blog el miércoles que comenzó a analizar los productos SolarWinds poco después de que FireEye y Microsoft informaran que los piratas informáticos habían tomado el control del sistema de desarrollo de software de SolarWinds y lo habían utilizado para actualizar las actualizaciones de puerta trasera distribuidas a los clientes de Orion. . No pasó mucho tiempo antes de que encontrara tres vulnerabilidades, dos en Orion y una tercera en un producto llamado Serv-U FTP para Windows. No hay evidencia de que alguna de las vulnerabilidades haya sido explotada en la naturaleza.

La falla más grave permite a los usuarios sin privilegios ejecutar de forma remota código que toma el control completo del sistema operativo subyacente. Al rastrear CVE-2021-25274, la vulnerabilidad resultó del uso de Microsoft Message Queue por parte de Orion, una herramienta que existe desde hace más de 20 años, pero que ya no se instala de forma predeterminada en las computadoras con Windows.

Difícil de perder

Cuando Rakhmanov buscó en la Consola de administración de computadoras de Windows, rápidamente obtuvo los siguientes permisos de seguridad en una de la docena de colas privadas habilitadas:

Trustwave SpiderLabs

«Es bastante difícil pasar por alto esta etiqueta de advertencia, que muestra que la cola, como todas las colas, no está autenticada», escribió el investigador. “En resumen, los usuarios no autenticados pueden usar el puerto TCP 1801 para enviar mensajes a tales colas. Me interesó y miré el código que procesa los mensajes entrantes. Desafortunadamente, resultó ser una víctima peligrosa de la deserialización. «

Trustwave SpiderLabs ha descrito el error en una nota separada de la siguiente manera:

SolarWinds Collector Service utiliza Microsoft Message Queue (MSMQ) y no establece permisos en sus colas privadas. Como resultado, los clientes remotos no autenticados pueden enviar mensajes que son procesados ​​por el Servicio de recopilación. Además, el servicio deserializa estos mensajes durante el procesamiento de manera insegura, lo que permite que cualquier código remoto se ejecute como LocalSystem.

Credenciales de base de datos para todos

La segunda vulnerabilidad de Orion, rastreada como CVE-2021-25275, es el resultado del almacenamiento inseguro de las credenciales de la base de datos de Orion. En particular, Orion almacena las credenciales en un archivo que pueden leer los usuarios sin privilegios. Rakhmanov llamó en broma a esto «credenciales de base de datos para todos».

Si bien los archivos protegen las contraseñas criptográficamente, el investigador pudo encontrar un código que convierte la contraseña en texto sin cifrar. El resultado: cualquiera que pueda iniciar sesión en una caja de forma local o mediante el protocolo de escritorio remoto puede recibir la información de inicio de sesión para SolarWindsOrionDatabaseUser.

«El siguiente paso es conectarse a Microsoft SQL Server usando la cuenta restaurada. En este punto, tenemos el control completo de la base de datos SOLARWINDS_ORION», escribió Rakhmanov. «Desde aquí puede robar información o agregar un nuevo usuario de nivel de administrador para usar en los productos SolarWinds Orion».

Crea tu propia cuenta de administrador

La tercera vulnerabilidad, rastreada como CVE-2021-25276, está en el Serv-U-FTP para Windows. El programa guarda los detalles de cada cuenta en un archivo separado. Estos archivos pueden ser creados por cualquier usuario de Windows autenticado.

Rakhmanov escribió:

En particular, cualquier persona que pueda iniciar sesión localmente o mediante un escritorio remoto puede simplemente eliminar un archivo que define un nuevo usuario y el servidor Serv-U-FTP lo recogerá automáticamente. Como podemos crear cualquier usuario de Serv-U-FTP, tiene sentido definir una cuenta de administrador configurando un campo simple en el archivo y luego configurando el directorio de inicio en la raíz de la unidad C: . Ahora podemos iniciar sesión a través de FTP y leer o reemplazar cualquier archivo en C: ya que el servidor FTP se ejecuta como LocalSystem.

Las correcciones para Orion y Serv-U FTP están disponibles aquí y aquí. Las personas que dependen de cualquiera de estos productos deben aplicar los parches lo antes posible.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *