Veri koruma satıcısı ArcServe, saldırganların kimlik doğrulamasını atlamasına ve yönetici ayrıcalıkları kazanmasına izin verebilecek birleşik veri koruma (UDP) yedekleme yazılımında yüksek şiddetli bir güvenlik kusurunu ele almıştır.
Şirkete göre, ArcServe UDP, müşterilerin fidye yazılımı saldırılarını engellemelerine, tehlikeye atılan verileri geri yüklemelerine ve iş sürekliliğini sağlamak için etkili olağanüstü durum kurtarma işlemine yardımcı olmak için tasarlanmış bir veri ve fidye yazılım koruma çözümüdür.
Arcserve, güvenlik araştırmacıları Juan Manuel Fernandez ve Sean Doherty tarafından MDSEC'in ActiveBreach Red ekibiyle bulunduktan ve bildirilmesinden dört ay sonra 27 Haziran'da güvenlik açığını (CVE-2023-26258 olarak izlenen) düzeltmek için UDP 9.1'i yayınladı.
Araştırmacılar, "Yakın zamanda yapılan bir düşman simülasyonu sırasında, MDSEC ActiveBreach Red ekibi, kuruluşun yedekleme altyapısından ödün vermeye yönelik önemli bir hedefle fidye yazılımı senaryosu gerçekleştiriyordu." Dedi.
"Kodu analiz ettikten birkaç dakika sonra, yönetim arayüzüne erişime izin veren kritik bir kimlik doğrulama baypası keşfedildi."
Arcserve UDP 7.0'ı 9.0'a kadar çalıştıran sistemlerde, kusur, geçerli yönetici oturumları almak için Authuuid'leri içeren sabun isteklerini yakalayarak, yönetici kimlik bilgileri elde ettikten sonra yerel ağdaki saldırganların UDP yönetici arayüzüne erişmesini sağlar.
Arcserve, "Tüm kullanıcıların UDP 9.1'e (Windows) yükseltmesini şiddetle tavsiye ediyoruz-bu da UDP sürüm 9'da yerleşik otomatik güncelleme yoluyla veya taze dağıtımlar ve eski sürümler için 9.1 RTM yapısını kullanarak." Dedi.
Yönetici kimlik bilgileri, tehdit aktörlerinin fidye yazılımı saldırılarındaki yedeklemeleri silerek hedeflerin verilerini yok etmesine izin verebilir.
MDSEC ActiveBreach araştırmacıları, hedeflenen sunucu CVE-2023-26258'e karşı zaten yamalanmışsa ve varsayılan bir yapılandırma kullanıyorsa, yönetici kimlik bilgilerini elde etmek için bir çift varsayılan MSSQL veritabanı kimlik bilgilerinin de kullanılabileceğini ekledi.
MDSEC ayrıca, yerel ağlarda varsayılan yapılandırma ile ArcServe UDP örneklerini taramak ve yönetim arayüzündeki kimlik doğrulama bypass'ından yararlanarak kimlik bilgilerini almak ve şifresini çözmek için kullanılabilecek konsept kanıtı istismarlarını ve araçlarını paylaştı.
MDSEC, "Saldırgan yerel ağda konumlandırılmışsa, arcserveradar.py kullanılarak varsayılan yapılandırmalar kullanılarak örnekler bulmak için taramalar gerçekleştirilebilir."
"Son olarak, ArcServe sürümü yamalı değilse (CVE-2023-26258), yönetim web arayüzünde bir kimlik doğrulama baypasından yararlanmak ve yönetici kredilerini (arcserve-exploit.py) almak mümkündür. Araçlar tarafından alınan tüm şifreler Arcservedecrypter.exe kullanılarak şifre çözülebilir. "
MDSEC, açıklama süreci sırasında ArcServe ekibi ile bir düzineden fazla mesaj değiştirirken ve nasıl kredilendirilmek istedikleri sorulurken, raporun sonunda paylaşılan açıklama zaman çizelgesindeki son satır, "Arcserve yamayı kredi olmadan serbest bırakıyor. "
ArcServe, veri koruma ürünlerinin 150 ülkede yaklaşık 235.000 müşterinin verilerinin korunmasına yardımcı olduğunu söylüyor.
GÜNCELLEME 29 Haziran 10:35 EDT: ArcServe, MDSEC'e CVE-2023-26258 hatasını bulmak ve raporlamak için Perşembe günü güvenlik danışmanlığını güncelledi.
POC, Windows Win32k Bug için Saldırılardan Sergilenen
Grafana, Azure Reklam Entegrasyonu nedeniyle kritik kimyasal bypass'ı uyarıyor
VMware, kod yürütmesine izin veren vCenter sunucusu hatalarını düzeltiyor, Auth Bypass
Cisco AnyConnect Hata için Sistem Sistem İmtiyazları Vermek
Veri hırsızlığı saldırılarında kullanılan movit rce hatası için piyasaya sürüldü
Kaynak: Bleeping Computer