CVE-2020–13166 – Pohled na MyLittleAdmin PreAuth RCE

(Imriah)

15. května 2020 společnost SSD informovala o chybě zabezpečení vzdáleného spuštění kódu nalezené v nástroji pro správu MyLittleAdmin. Tato chyba zabezpečení umožňuje útočníkům provádět příkazy na vzdáleném serveru bez předchozího ověření.

Na SSD to nahlásil nezávislý výzkumník, který zjistil, že objekty na MyLittleAdmin lze serializovat na vzdáleném serveru, což způsobí, že je kód ASP analyzuje, jako by to byly objekty MyLittleAdmin. To by mohlo útočníkům umožnit provádět příkazy na vzdáleném serveru, jako by byli ověřenými uživateli MyLittleAdmin.

Nástroj

MyLittleAdmin je webový nástroj pro správu speciálně navržený pro MS SQL Server. Jedná se o samostatnou webovou aplikaci a byla plně integrována do hostování ovládacích panelů, včetně Parallels Plesk. Pomocí MyLittleAdmin můžete spravovat většinu objektů databází a serverů MS SQL Server prostřednictvím webového prohlížeče.

I když se zdá, že produkt již není k dispozici (žádná nová vydání od roku 2013), je stále nabízen na webových stránkách společnosti stejně jako součást volitelné instalace Plesku. Na internetu je také mnoho aktivních instalací a tisíce uživatelů, takže je stále široce používán a jeho zneužití může způsobit velké škody.

Zranitelnost

MyLittleAdmin používá pro všechny instalace napevno machineKey , tato hodnota je uložena v souboru: C: \ Program Files (x86) \ MyLittleAdmin \ web.config

Útočník, který má tyto znalosti, může poté serializovat objekty, které budou analyzovány kódem ASP používaným serverem, jako by to bylo Serializovaný objekt MyLittleAdmin. Útočník se poté může připojit ke vzdálenému serveru a odeslat užitečné zatížení, které spustí soubor calc.exe v kontextu aplikačního stroje IIS. Útočníkovi tak umožní provádět libovolné příkazy na vzdáleném serveru.

Dopad

Tato chyba zabezpečení byla jedním z nejpopulárnějších zjištění SSD v roce 2020. Samotné poradenství bylo mnohokrát navštíveno a zaplavilo sociální média. Zjištění byla také zveřejněna na Pleskově webu a byla propagována The Hacker News and The Daily Swig .

Byly provedeny četné pokusy kontaktovat dodavatele, ale dosud jsme neobdrželi žádnou odpověď, i když jsme obdržel mnoho komentářů, že tato chyba zabezpečení již byla zneužita.

Naštěstí, i když oficiální řešení dosud nebylo zveřejněno, ale díky naší skvělé komunitě toto řešení zveřejnil Tim Aplin z Deštník .

  1. Přejít na IIS> Strojové klíče> Generovat nový klíč> Použít

2. Spustit: IISreset

Nalezli jste podobnou chybu zabezpečení? Dostaneme za to tu nejlepší odměnu.

Na SSD pomáháme výzkumníkům v oblasti bezpečnosti přeměnit jejich dovednosti v odhalování bezpečnostních slabin na kariéru. SSD navržený vědci poskytuje vědcům rychlou odezvu a podporu potřebnou k získání zranitelností a odhalení nultého dne oznámených prodejcům a k získání odměny, kterou si zaslouží. Pomáháme vědcům dostat se na dno zranitelností ovlivňujících hlavní operační systémy, software nebo zařízení.

Neustále zveřejňujeme naše poznatky zaměřené na vzdělávání komunity globálního bezpečnostního výzkumníka. Další chyby zabezpečení najdete na naší stránce Doporučení . Pokud máte vlastní zjištění, můžete nám poslat svá zjištění zde pomocí naší šablony přehledu.

Připojte se ke konverzaci:

Navštivte SSD

Twitter

Facebook

Youtube

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *