CVE-2020–13166 – Uno sguardo a MyLittleAdmin PreAuth RCE

(Imriah)

Il 15 maggio 2020, SSD ha segnalato una vulnerabilità di esecuzione di codice in modalità remota rilevata nello strumento di gestione MyLittleAdmin. Questa vulnerabilità consente agli aggressori di eseguire comandi sul server remoto senza previa autenticazione.

È stata segnalata a SSD da un ricercatore indipendente che ha scoperto che gli oggetti su MyLittleAdmin possono essere serializzati su un server remoto, facendo in modo che il codice ASP li analizzi come se fossero oggetti di MyLittleAdmin. Ciò potrebbe consentire agli aggressori di eseguire comandi su un server remoto come se fossero utenti MyLittleAdmin autenticati.

Lo strumento

MyLittleAdmin è uno strumento di gestione basato sul Web appositamente progettato per MS SQL Server. È unapplicazione web stand-alone ed è stata completamente integrata con i pannelli di controllo dellhosting, incluso Parallels Plesk. Utilizzando MyLittleAdmin, è possibile gestire la maggior parte degli oggetti dei database e dei server di MS SQL Server tramite un browser web.

Anche se il prodotto sembra essere interrotto (nessuna nuova versione dal 2013), è ancora offerto sul sito web dellazienda così come parte dellinstallazione opzionale di Plesk. Ci sono anche numerose installazioni attive e migliaia di utenti presenti su Internet, quindi è ancora ampiamente utilizzato e un suo sfruttamento può causare molti danni.

La vulnerabilità

MyLittleAdmin utilizza una machineKey hardcoded per tutte le installazioni, questo valore è mantenuto nel file: C: \ Program Files (x86) \ MyLittleAdmin \ web.config

Un utente malintenzionato che ha questa conoscenza può quindi serializzare oggetti che verranno analizzati dal codice ASP utilizzato dal server come se fosse Oggetto serializzato di MyLittleAdmin. Lautore dellattacco può quindi connettersi a un server remoto e inviare un payload che avvia un calc.exe nel contesto di IIS Application Engine. Consentendo così allautore dellattacco di eseguire comandi arbitrari sul server remoto.

Limpatto

Questa vulnerabilità è stata una delle scoperte più popolari di SSD nel 2020. Lavviso stesso è stato visitato numerose volte e ha invaso i social media. I risultati sono stati pubblicati anche sul sito web di Plesk e sono stati promossi da The Hacker News e The Daily Swig .

Sono stati effettuati numerosi tentativi di contattare il fornitore ma non abbiamo ancora ricevuto alcuna risposta anche se abbiamo ha ricevuto molti commenti dicendo che questa vulnerabilità era già stata sfruttata.

Fortunatamente, anche se una soluzione ufficiale deve ancora essere pubblicata ma grazie alla nostra grande comunità, una soluzione è stata pubblicata da Tim Aplin da Umbrellar .

  1. Accedi a IIS> Machine Keys> Genera nuova chiave> Applica

2. Esegui: IISreset

Hai trovato una vulnerabilità simile? Ti daremo la migliore ricompensa per questo.

In SSD, aiutiamo i ricercatori di sicurezza a trasformare le loro capacità nello scoprire le vulnerabilità della sicurezza in una carriera. Progettato dai ricercatori, per i ricercatori, SSD fornisce la risposta rapida e il supporto necessari per ottenere le vulnerabilità e le divulgazioni zero-day segnalate ai fornitori e per ottenere ai ricercatori la compensazione che meritano. Aiutiamo i ricercatori ad andare in fondo alle vulnerabilità che interessano i principali sistemi operativi, software o dispositivi.

Pubblichiamo costantemente i nostri risultati, intesi a formare la nostra comunità di ricercatori sulla sicurezza globale. Puoi trovare altre vulnerabilità nella nostra pagina Avvisi . Se disponi di risultati personali, puoi inviarci i risultati qui utilizzando il nostro modello di rapporto.

Partecipa alla conversazione:

Visita SSD

Twitter

Facebook

YouTube

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *