CVE-2020–13166 – Een blik op MyLittleAdmin PreAuth RCE

(Imriah)

Op 15 mei 2020 rapporteerde SSD over een Remote Code Execution-kwetsbaarheid gevonden in de beheertool MyLittleAdmin. Deze kwetsbaarheid stelt aanvallers in staat commandos op de externe server uit te voeren zonder voorafgaande authenticatie.

Het werd gerapporteerd aan de SSD door een onafhankelijke onderzoeker die ontdekte dat objecten op MyLittleAdmin kunnen worden geserialiseerd op een externe server, waardoor de ASP-code ze parseert alsof het objecten van MyLittleAdmin zijn. Hierdoor kunnen aanvallers opdrachten uitvoeren op een externe server alsof ze geauthenticeerde MyLittleAdmin-gebruikers zijn.

De tool

MyLittleAdmin is een webgebaseerd beheerprogramma dat speciaal is ontworpen voor MS SQL Server. Het is een stand-alone webapplicatie en is volledig geïntegreerd met hostingcontrolepanelen, waaronder Parallels Plesk. Met MyLittleAdmin kunt u de meeste objecten van MS SQL Server-databases en -servers beheren via een webbrowser.

Hoewel het product lijkt te zijn stopgezet (geen nieuwe releases sinds 2013), wordt het nog steeds aangeboden op de website van het bedrijf evenals onderdeel van de optionele installatie van Plesk. Er zijn ook talloze actieve installaties en duizenden gebruikers aanwezig op internet, dus het wordt nog steeds veel gebruikt en misbruik ervan kan veel schade aanrichten.

The Vulnerability

MyLittleAdmin gebruikt een hardgecodeerde machineKey voor alle installaties, deze waarde wordt bewaard in het bestand: C: \ Program Files (x86) \ MyLittleAdmin \ web.config

Een aanvaller met deze kennis kan vervolgens objecten rangschikken die worden geparseerd door de ASP-code die door de server wordt gebruikt alsof het Het geserialiseerde object van MyLittleAdmin. De aanvaller kan vervolgens verbinding maken met een externe server en een payload verzenden die een calc.exe start in de context van de IIS Application Engine. Hierdoor kan de aanvaller willekeurige commandos op de externe server uitvoeren.

The Impact

Deze kwetsbaarheid was een van de meest populaire bevindingen van SSD in 2020. Het advies zelf is al meerdere keren bezocht en overspoelde sociale media. De bevindingen waren ook gepubliceerd op de website van Plesk en werden gepromoot door The Hacker News en The Daily Swig .

Er zijn talloze pogingen gedaan om contact op te nemen met de verkoper, maar we hebben nog geen antwoord ontvangen, ook al hebben we ontving veel reacties die zeiden dat deze kwetsbaarheid al werd uitgebuit.

Gelukkig, hoewel er nog een officiële oplossing moet worden gepubliceerd, maar dankzij onze geweldige community is er een tijdelijke oplossing gepubliceerd door Tim Aplin van Umbrellar .

  1. Ga naar IIS> Machine Keys> Genereer nieuwe sleutel> Toepassen

2. Uitvoeren: IISreset

Een gelijkaardige kwetsbaarheid gevonden? We bezorgen je er de beste beloning voor.

Bij SSD helpen we beveiligingsonderzoekers hun vaardigheden in het blootleggen van beveiligingsproblemen om te zetten in een carrière. SSD, ontworpen door onderzoekers, biedt voor onderzoekers de snelle respons en ondersteuning die nodig zijn om zero-day kwetsbaarheden en openbaarmakingen aan leveranciers te rapporteren en om onderzoekers de vergoeding te geven die ze verdienen. We helpen onderzoekers de kwetsbaarheden te doorgronden die van invloed zijn op belangrijke besturingssystemen, software of apparaten.

We publiceren voortdurend onze bevindingen, bedoeld om onze wereldwijde gemeenschap van beveiligingsonderzoekers te informeren. U kunt meer kwetsbaarheden vinden op onze Adviespagina . Als u zelf bevindingen heeft, kunt u ons uw bevindingen hier sturen met behulp van ons rapportsjabloon.

Neem deel aan het gesprek:

Bezoek SSD

Twitter

Facebook

YouTube

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *