Le fournisseur de protection des données Arcserve a corrigé une faille de sécurité très grave dans son logiciel de sauvegarde Unified Data Protection (UDP) qui peut permettre aux attaquants de contourner l’authentification et d’obtenir des privilèges d’administrateur.
Selon la société, Arcserve UDP est une solution de protection des données et des ransomwares conçue pour aider les clients à contrecarrer les attaques de ransomwares, à restaurer les données compromises et à permettre une reprise après sinistre efficace pour assurer la continuité des activités.
Arcserve a publié UDP 9.1 pour corriger la vulnérabilité (suivi sous le nom de CVE-2023-26258) le 27 juin, quatre mois après la découverte et le signalement du bogue par les chercheurs en sécurité Juan Manuel Fernandez et Sean Doherty avec l’équipe rouge ActiveBreach de MDSec.
« Au cours d’une récente simulation d’adversaire, l’équipe rouge MDSec ActiveBreach [était] en train d’exécuter un scénario de ransomware, avec un objectif clé fixé pour compromettre l’infrastructure de sauvegarde de l’organisation », ont déclaré les chercheurs.
« Quelques minutes après l’analyse du code, un contournement d’authentification critique a été découvert qui permettait d’accéder à l’interface d’administration.
Sur les systèmes exécutant Arcserve UDP 7.0 à 9.0, la faille permet aux attaquants du réseau local d’accéder à l’interface d’administration UDP après avoir obtenu des informations d’identification d’administrateur faciles à déchiffrer en capturant des requêtes SOAP contenant des AuthUUID pour obtenir des sessions d’administrateur valides.
Les informations d’identification de l’administrateur pourraient permettre aux pirates de détruire les données des cibles en effaçant les sauvegardes lors d’attaques de ransomwares.
Les chercheurs de MDSec ActiveBreach ont ajouté qu’une paire d’informations d’identification de base de données MSSQL par défaut pourrait également être utilisée pour obtenir les informations d’identification d’administrateur si le serveur ciblé est déjà corrigé contre CVE-2023-26258 et utilise une configuration par défaut.
MDSec a également partagé des exploits et des outils de preuve de concept qui peuvent être utilisés pour rechercher des instances Arcserve UDP avec une configuration par défaut sur les réseaux locaux, ainsi que pour récupérer et déchiffrer les informations d’identification en exploitant le contournement d’authentification dans l’interface de gestion.
« Si l’attaquant est positionné sur le réseau local, des analyses peuvent être effectuées pour trouver des instances utilisant des configurations par défaut à l’aide d’ArcServeRadar.py », explique MDSec.
« Enfin, si la version d’ArcServe n’a pas été patchée (CVE-2023-26258) il est possible d’exploiter un contournement d’authentification dans l’interface web de gestion et de récupérer les creds admin (ArcServe-exploit.py). Tous les mots de passe récupérés par les outils peut être déchiffré à l’aide d’ArcServeDecrypter.exe. »
Alors que MDsec a échangé plus d’une douzaine de messages avec l’équipe Arcserve au cours du processus de divulgation et qu’on leur a demandé comment ils souhaitaient être crédités, la dernière ligne de la chronologie de divulgation partagée à la fin du rapport indique : « ArcServe publie le correctif sans crédits. «
Arcserve affirme que ses produits de protection des données aident à protéger les données d’environ 235 000 clients dans 150 pays.