CVE-2020–13166 — MyLittleAdminPreAuthの概要RCE

(Imriah)

2020年5月15日、SSDは、管理ツールMyLittleAdminで見つかったリモートコード実行の脆弱性について報告しました。 この脆弱性により、攻撃者は事前の認証なしにリモートサーバー上でコマンドを実行できます。

独立した研究者によってSSDに報告されました。 MyLittleAdmin上のオブジェクトは、リモートサーバーでシリアル化できるため、ASPコードはそれらをMyLittleAdminのオブジェクトであるかのように解析します。これにより、攻撃者はMyLittleAdminユーザーとして認証されているかのようにリモートサーバー上でコマンドを実行できる可能性があります。

ツール

MyLittleAdmin は、MS SQLServer用に特別に設計されたWebベースの管理ツールです。これはスタンドアロンのWebアプリケーションであり、ParallelsPleskを含むホスティングコントロールパネルと完全に統合されています。 MyLittleAdminを使用すると、Webブラウザを介してMS SQLServerデータベースおよびサーバーのほとんどのオブジェクトを管理できます。

製品は廃止されたように見えますが(2013年以降の新しいリリースはありません)、会社のWebサイトで引き続き提供されています。 Pleskのオプションのインストールの一部と同様に。また、インターネット上には多数のアクティブなインストールと数千人のユーザーが存在するため、依然として広く使用されており、悪用すると多くの害を及ぼす可能性があります。

脆弱性

MyLittleAdminはすべてのインストールにハードコードされた machineKey を利用し、この値はファイルに保持されます: C:\ Program Files(x86)\ MyLittleAdmin \ web.config

この知識を持つ攻撃者は、サーバーが使用するASPコードによって解析されるオブジェクトをあたかもそうであるかのようにシリアル化できます。 MyLittleAdminのシリアル化されたオブジェクト。その後、攻撃者はリモートサーバーに接続し、IISアプリケーションエンジンのコンテキストで calc.exe を開始するペイロードを送信できます。したがって、攻撃者はリモートサーバー上で任意のコマンドを実行できます。

影響

この脆弱性は、2020年にSSDで最も人気のある発見の1つです。アドバイザリ自体は何度も訪問され、ソーシャルメディアに殺到しました。調査結果は、 Pleskの Webサイトでも公開されており、ハッカーニュースによって宣伝されていました。および

The Daily Swig 。

ベンダーへの連絡が何度も試みられましたが、まだ返答がありません。この脆弱性はすでに悪用されているという多くのコメントを受け取りました。

幸いなことに、公式の回避策はまだ公開されていませんが、すばらしいコミュニティのおかげで、回避策は

アンブレラ。

  1. IISに移動>マシンキー>新しいキーを生成>適用

2。実行:IISreset

同様の脆弱性が見つかりましたか?最高の報酬をお届けします。

SSDでは、セキュリティ研究者がセキュリティの脆弱性を発見するスキルをキャリアに変えるお手伝いをします。研究者によって設計されたSSDは、研究者向けに、ゼロデイ脆弱性と開示をベンダーに報告し、研究者にふさわしい補償を提供するために必要な迅速な対応とサポートを提供します。主要なオペレーティングシステム、ソフトウェア、またはデバイスに影響を与える脆弱性の根底にある研究者を支援します。

グローバルなセキュリティ研究者のコミュニティを教育することを目的として、調査結果を常に公開しています。その他の脆弱性については、アドバイザリページをご覧ください。独自の調査結果がある場合は、レポートテンプレートを使用してここに調査結果を送信できます。

会話に参加してください:

SSDにアクセス

Twitter

Facebook

Youtube

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です