Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Kritické zraniteľnosti v nástroji rConfig umožňujú vzdialene vykonávať kód

05.11.2019
Sieťový nástroj rConfig obsahuje dve zraniteľnosti umožňujúce vzdialene vykonávať systémové príkazy, čo môže viesť ku vzdialenému vykonávaniu kódu. Jedna zo zraniteľností je hodnotená ako kritická, nakoľko jej zneužitie nevyžaduje autentifikáciu útočníka. Nástroj sa momentálne javí ako nepodporovaný, preto sa odporúča nepoužívať ho.

 

Dôsledky

  • Vzdialené vykonávanie systémových príkazov
  • Vzdialené vykonávanie kódu

Opis činnosti
CVE-2019-16662, CVE-2019-16663

Open-source konfiguračný nástroj na vytváranie obrazov konfigurácií sieťových zariadení rConfig má dve zraniteľnosti, ktoré umožňujú vzdialene vykonávať kód. Jedna je označená ako kritická, pretože je ju možné zneužiť bez autentifikácie. Zraniteľnosti boli najprv objavené vo verzii 3.9.2, no ďalší výskum ukázal, že postihujú pravdepodobne všetky verzie, minimálne do 3.6.0.

CVE-2019-16662: kritická zraniteľnosť, ktorá umožňuje na zraniteľných zariadeniach vzdialene vykonávať systémové príkazy pomocou GET požiadaviek, bez autentifikácie. Zraniteľnosť sa nachádza v súbore ajaxServerSettingsChk.php, v parametri "rootUname". Môže viesť k možnosti vzdialene vykonávať kód.

CVE-2019-16663: závažná zraniteľnosť umožňujúca vykonávať vzdialene systémové príkazy pomocou GET požiadaviek. Útočník musí byť prihlásený. Nachádza sa v súbore search.crud.php a môže viesť k možnosti vzdialene vykonávať kód.

Bezpečnostný výskumník Mohammad Askar po 35 dňoch bez reakcie vývojárov zverejnil funkčnú ukážku zneužitia zraniteľností. Zraniteľnosti sú aktuálne reálne zneužívané.

Zraniteľné systémy
Primárne rConfig 3.9.2,
pravdepodobne však aj všetky ostatné verzie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Nástroj rConfig nebol v čase uverejnenia varovania podporovaný. Odporúčame preto nepoužívať ho.

Odkazy
https://threatpost.com/critical-rce-flaw-in-rconfig/149847/
https://nvd.nist.gov/vuln/detail/CVE-2019-16662
https://nvd.nist.gov/vuln/detail/CVE-2019-16663
https://www.cybersecurity-help.cz/vdb/SB2019110502?affChecked=1
https://www.sudokaikan.com/2019/11/cve-2019-16662-cve-2019-16663.html



<< zoznam oznámení