CVE-2020–13166 – Un aperçu de MyLittleAdmin PreAuth RCE

(Imriah)

Le 15 mai 2020, SSD a signalé une vulnérabilité dexécution de code à distance trouvée dans loutil de gestion MyLittleAdmin. Cette vulnérabilité permet aux attaquants dexécuter des commandes sur le serveur distant sans authentification préalable.

Elle a été signalée à SSD par un chercheur indépendant qui a découvert que Les objets sur MyLittleAdmin peuvent être sérialisés sur un serveur distant, ce qui permet au code ASP de les analyser comme sil sagissait dobjets de MyLittleAdmin. Cela pourrait permettre aux attaquants dexécuter des commandes sur un serveur distant comme sils étaient des utilisateurs MyLittleAdmin authentifiés.

Loutil

MyLittleAdmin est un outil de gestion Web spécialement conçu pour MS SQL Server. Il sagit dune application Web autonome et a été entièrement intégrée aux panneaux de contrôle dhébergement, y compris Parallels Plesk. En utilisant MyLittleAdmin, vous pouvez gérer la plupart des objets des bases de données et des serveurs MS SQL Server via un navigateur Web.

Bien que le produit semble être abandonné (aucune nouvelle version depuis 2013), il est toujours proposé sur le site Web de lentreprise ainsi que dans le cadre de linstallation optionnelle de Plesk. Il existe également de nombreuses installations actives et des milliers dutilisateurs présents sur Internet, il est donc encore largement utilisé et son exploitation peut causer beaucoup de tort.

The Vulnerability

MyLittleAdmin utilise une machineKey codée en dur pour toutes les installations, cette valeur est conservée dans le fichier: C: \ Program Files (x86) \ MyLittleAdmin \ web.config

Un attaquant ayant cette connaissance peut alors sérialiser des objets qui seront analysés par le code ASP utilisé par le serveur comme sil sagissait de Objet sérialisé de MyLittleAdmin. Lattaquant peut alors se connecter à un serveur distant et envoyer une charge utile qui lance un calc.exe dans le contexte du moteur dapplication IIS. Permettant ainsi à lattaquant dexécuter des commandes arbitraires sur le serveur distant.

The Impact

Cette vulnérabilité a été lune des découvertes les plus populaires de SSD en 2020. Lavis lui-même a été visité de nombreuses fois et a inondé les médias sociaux. Les résultats avaient également été publiés sur le site Web de Plesk et promus par The Hacker News et The Daily Swig .

De nombreuses tentatives de contact avec le fournisseur ont été effectuées, mais nous navons pas encore reçu de réponse, même si nous a reçu de nombreux commentaires disant que cette vulnérabilité était déjà exploitée.

Heureusement, même si une solution de contournement officielle na pas encore été publiée, mais grâce à notre formidable communauté, une solution de contournement a été publiée par Tim Aplin à partir de Umbrellar .

  1. Allez dans IIS> Clés machine> Générer une nouvelle clé> Appliquer

2. Exécutez: IISreset

Vous avez trouvé une vulnérabilité similaire? Nous vous offrirons la meilleure récompense pour cela.

Chez SSD, nous aidons les chercheurs en sécurité à transformer leurs compétences en découverte de failles de sécurité en une carrière. Conçu par des chercheurs, pour les chercheurs, le SSD fournit la réponse et le support rapides nécessaires pour obtenir les vulnérabilités et les divulgations zero-day signalées aux fournisseurs et pour obtenir aux chercheurs la compensation quils méritent. Nous aidons les chercheurs à découvrir les vulnérabilités affectant les principaux systèmes dexploitation, logiciels ou appareils.

Nous publions constamment nos résultats, destinés à éduquer notre communauté mondiale de chercheurs en sécurité. Vous pouvez trouver plus de vulnérabilités sur notre page davertissements . Si vous avez vos propres conclusions, vous pouvez nous les envoyer ici en utilisant notre modèle de rapport.

Rejoignez la conversation:

Visiter SSD

Twitter

Facebook

Youtube

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *