CVE-2020-13166: una mirada a MyLittleAdmin PreAuth RCE

(Imriah)

El 15 de mayo de 2020, SSD informó sobre una vulnerabilidad de ejecución remota de código encontrada en la herramienta de administración MyLittleAdmin. Esta vulnerabilidad permite a los atacantes ejecutar comandos en el servidor remoto sin autenticación previa.

Un investigador independiente informó a SSD que descubrió que Los objetos en MyLittleAdmin se pueden serializar en un servidor remoto, haciendo que el código ASP los analice como si fueran objetos de MyLittleAdmin. Esto podría permitir a los atacantes ejecutar comandos en un servidor remoto como si fueran usuarios autenticados de MyLittleAdmin.

La herramienta

MyLittleAdmin es una herramienta de administración basada en web especialmente diseñada para MS SQL Server. Es una aplicación web independiente y se ha integrado completamente con los paneles de control de hosting, incluido Parallels Plesk. Con MyLittleAdmin, puede administrar la mayoría de los objetos de las bases de datos y servidores de MS SQL Server a través de un navegador web.

Si bien el producto parece estar descontinuado (no hay nuevas versiones desde 2013), todavía se ofrece en el sitio web de la empresa. así como parte de la instalación opcional de Plesk. También hay numerosas instalaciones activas y miles de usuarios presentes en Internet, por lo que todavía se usa ampliamente y una explotación puede causar mucho daño.

La vulnerabilidad

MyLittleAdmin utiliza una clave de máquina codificada para todas las instalaciones, este valor se mantiene en el archivo: C: \ Archivos de programa (x86) \ MyLittleAdmin \ web.config

Un atacante que tenga este conocimiento puede serializar objetos que serán analizados por el código ASP utilizado por el servidor como si fuera Objeto serializado de MyLittleAdmin. Luego, el atacante puede conectarse a un servidor remoto y enviar una carga útil que inicia un calc.exe en el contexto del motor de aplicación de IIS. Permitiendo así al atacante ejecutar comandos arbitrarios en el servidor remoto.

The Impact

Esta vulnerabilidad ha sido uno de los hallazgos más populares de SSD en 2020. El aviso en sí ha sido visitado numerosas veces y ha inundado las redes sociales. Los hallazgos también se publicaron en el sitio web de Plesk y fueron promocionados por The Hacker News . y The Daily Swig .

Se han realizado numerosos intentos de contactar al proveedor, pero todavía no hemos recibido ninguna respuesta a pesar de que recibió muchos comentarios que decían que esta vulnerabilidad ya estaba siendo explotada.

Afortunadamente, aunque aún no se ha publicado una solución oficial, pero gracias a nuestra gran comunidad, Tim Aplin ha publicado una solución de Umbrellar .

  1. Vaya a IIS> Claves de máquina> Generar nueva clave> Aplicar

2. Ejecutar: IISreset

¿Encontró una vulnerabilidad similar? Le daremos la mejor recompensa por ello.

En SSD, ayudamos a los investigadores de seguridad a convertir sus habilidades para descubrir vulnerabilidades de seguridad en una carrera. Diseñado por investigadores, para investigadores, SSD proporciona la respuesta y el soporte rápidos necesarios para informar a los proveedores sobre las vulnerabilidades y divulgaciones de día cero y para que los investigadores obtengan la compensación que merecen. Ayudamos a los investigadores a llegar al fondo de las vulnerabilidades que afectan a los principales sistemas operativos, software o dispositivos.

Publicamos constantemente nuestros hallazgos, destinados a educar a nuestra comunidad de investigadores de seguridad global. Puede encontrar más vulnerabilidades en nuestra página de avisos . Si tiene sus propios hallazgos, puede enviarnos sus hallazgos aquí usando nuestra plantilla de informe.

Únase a la conversación:

Visite SSD

Twitter

Facebook

Youtube

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *