CVE-2020–13166 – Ein Blick auf MyLittleAdmin PreAuth RCE

(Imriah)

Am 15. Mai 2020 meldete SSD eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Verwaltungstool MyLittleAdmin. Diese Sicherheitsanfälligkeit ermöglicht es Angreifern, Befehle auf dem Remote-Server ohne vorherige Authentifizierung auszuführen.

Dies wurde SSD von einem unabhängigen Forscher gemeldet, der dies entdeckte Objekte in MyLittleAdmin können auf einem Remote-Server serialisiert werden, sodass der ASP-Code sie so analysiert, als wären sie Objekte von MyLittleAdmin. Auf diese Weise können Angreifer Befehle auf einem Remote-Server ausführen, als wären sie authentifizierte MyLittleAdmin-Benutzer.

Das Tool

MyLittleAdmin ist ein webbasiertes Verwaltungstool, das speziell für MS SQL Server entwickelt wurde. Es handelt sich um eine eigenständige Webanwendung, die vollständig in Hosting-Kontrollfelder wie Parallels Plesk integriert wurde. Mit MyLittleAdmin können Sie die meisten Objekte von MS SQL Server-Datenbanken und -Servern über einen Webbrowser verwalten.

Obwohl das Produkt anscheinend nicht mehr angeboten wird (keine neuen Versionen seit 2013), wird es weiterhin auf der Unternehmenswebsite angeboten sowie Teil der optionalen Installation von Plesk. Es gibt auch zahlreiche aktive Installationen und Tausende von Benutzern im Internet, so dass es immer noch weit verbreitet ist und ein Exploit davon viel Schaden anrichten kann.

Die Sicherheitsanfälligkeit

MyLittleAdmin verwendet für alle Installationen einen fest codierten machineKey . Dieser Wert wird in der folgenden Datei gespeichert: C: \ Programme (x86) \ MyLittleAdmin \ web.config

Ein Angreifer mit diesem Wissen kann dann Objekte serialisieren, die vom vom Server verwendeten ASP-Code analysiert werden Das serialisierte Objekt von MyLittleAdmin. Der Angreifer kann dann eine Verbindung zu einem Remoteserver herstellen und eine Nutzlast senden, die eine calc.exe im Kontext der IIS Application Engine startet. Auf diese Weise kann der Angreifer beliebige Befehle auf dem Remote-Server ausführen.

Die Auswirkung

Diese Sicherheitsanfälligkeit war eine der beliebtesten Erkenntnisse von SSD im Jahr 2020. Das Advisory selbst wurde mehrfach besucht und hat soziale Medien überflutet. Die Ergebnisse wurden auch auf der Website von Plesk veröffentlicht und von The Hacker News beworben und The Daily Swig .

Es wurden zahlreiche Versuche unternommen, den Anbieter zu kontaktieren, aber wir haben noch keine Antwort erhalten, obwohl wir dies getan haben Es wurden viele Kommentare abgegeben, die besagten, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde.

Obwohl eine offizielle Problemumgehung noch nicht veröffentlicht wurde, wurde dank unserer großartigen Community eine Problemumgehung von Tim Aplin von Umbrellar .

  1. Gehen Sie zu IIS> Maschinenschlüssel> Neuen Schlüssel generieren> Anwenden

2. Ausführen: IISreset

Eine ähnliche Sicherheitsanfälligkeit gefunden? Wir erhalten die beste Belohnung dafür.

Bei SSD helfen wir Sicherheitsforschern, ihre Fähigkeiten zur Aufdeckung von Sicherheitslücken in eine Karriere umzuwandeln. SSD wurde von Forschern für Forscher entwickelt und bietet die schnelle Reaktion und Unterstützung, die erforderlich ist, um Zero-Day-Schwachstellen und Offenlegungen zu erhalten, die den Anbietern gemeldet werden, und um Forschern die Entschädigung zukommen zu lassen, die sie verdienen. Wir helfen Forschern dabei, Schwachstellen auf den Grund zu gehen, die wichtige Betriebssysteme, Software oder Geräte betreffen.

Wir veröffentlichen ständig unsere Ergebnisse, um die Community unserer globalen Sicherheitsforscher zu informieren. Weitere Sicherheitslücken finden Sie auf unserer Seite Hinweise . Wenn Sie eigene Ergebnisse haben, können Sie uns Ihre Ergebnisse hier mithilfe unserer Berichtsvorlage senden.

Nehmen Sie an der Konversation teil:

SSD besuchen

Twitter

Facebook

Youtube

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.