Des chercheurs ont publié un script d’exploit de preuve de concept (PoC) démontrant une vulnérabilité d’exécution de code à distance chaînée (RCE) sur les serveurs de rapports Progress Telerik.

Le serveur de rapports Telerik est une solution de gestion de rapports chiffrée de bout en bout alimentée par une API que les organisations utilisent pour rationaliser la création, le partage, le stockage, la distribution et la planification des rapports.

La chercheuse en cybersécurité Sina Kheirkha a développé l’exploit avec l’aide de Soroush Dalili et a maintenant publié un article détaillé qui décrit le processus complexe d’exploitation de deux failles, un contournement d’authentification et un problème de désérialisation, pour exécuter du code sur la cible.

Création de comptes d’administrateur non autorisés
La faille de contournement d’authentification est suivie sous la référence CVE-2024-4358 (score CVSS: 9,8), permettant la création de comptes administrateurs sans vérification.

Kheirkhah dit qu’il a travaillé à la découverte de la vulnérabilité à la suite d’une divulgation de bogue par le fournisseur de logiciels le 25 avril pour un problème de désérialisation qui nécessitait un utilisateur à « faible privilège » à exploiter.

Le chercheur a développé la faille en découvrant que la méthode « Register » dans le « StartupController » était accessible sans authentification, permettant la création d’un compte administrateur même une fois la configuration initiale terminée.

Ce problème a été résolu via une mise à jour (Telerik Report Server 2024 Q2 10.1.24.514) le 15 mai, tandis que le fournisseur a publié un bulletin avec l’équipe ZDI le 31 mai.

La deuxième faille requise pour atteindre RCE est CVE-2024-1800 (score CVSS: 8,8), un problème de désérialisation qui permet aux attaquants authentifiés à distance d’exécuter du code arbitraire sur des serveurs vulnérables.

Ce problème a été découvert précédemment et signalé au fournisseur par un chercheur anonyme, tandis que Progress a publié une mise à jour de sécurité pour celui-ci le 7 mars 2024 via Telerik® Report Server 2024 Q1 10.0.24.305.

Un attaquant peut envoyer une charge utile XML spécialement conçue avec un élément ‘ResourceDictionary’ au désérialiseur personnalisé de Telerik Report Server, qui utilise un mécanisme complexe pour résoudre les éléments XML en types.NET.

L’élément spécial de la charge utile utilise ensuite la classe ‘ObjectDataProvider’ pour exécuter des commandes arbitraires sur le serveur, telles que le lancement de ‘cmd.exé.’

Bien que l’exploitation du bogue de désérialisation soit complexe, la rédaction et le script Python d’exploitation de Kheirkhah sont accessibles au public, ce qui rend le cas assez simple pour les attaquants en herbe.

Cela étant dit, les organisations doivent appliquer les mises à jour disponibles dès que possible, c’est-à-dire passer à la version 10.1.24.514 ou ultérieure, qui corrige les deux failles.

Le fournisseur a également indiqué que même s’il n’y a aucun rapport d’exploitation active de CVE-2024-4358, les administrateurs système doivent consulter la liste des utilisateurs de leur serveur de rapports pour tout nouvel utilisateur local qu’ils ne reconnaissent pas, ajouté à ‘{host}/Users/Index.’

Les failles critiques des logiciels Progress ne sont généralement pas ignorées par les cybercriminels de haut niveau, car un grand nombre d’organisations dans le monde utilisent les produits du fournisseur.

Le cas le plus caractéristique est une vaste série d’attaques de vol de données qui ont exploité une vulnérabilité zero-day dans la plateforme Progress MOVEit Transfer par le gang de ransomwares Clop en mars 2023.

Cette campagne de vol de données a fini par être l’une des opérations d’extorsion les plus importantes et les plus percutantes de l’histoire, faisant plus de 2 770 victimes et affectant indirectement près de 96 millions de personnes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *