CVE-2020–13166 – Uma olhada em MyLittleAdmin PreAuth RCE

(Imriah)

Em 15 de maio de 2020, o SSD relatou uma vulnerabilidade de execução remota de código encontrada na ferramenta de gerenciamento MyLittleAdmin. Esta vulnerabilidade permite que os invasores executem comandos no servidor remoto sem autenticação prévia.

Foi relatado ao SSD por um pesquisador independente que descobriu que objetos em MyLittleAdmin podem ser serializados em um servidor remoto, fazendo com que o código ASP os analise como se fossem objetos de MyLittleAdmin. Isso pode permitir que invasores executem comandos em um servidor remoto como se fossem usuários MyLittleAdmin autenticados.

A ferramenta

MyLittleAdmin é uma ferramenta de gerenciamento baseada na web especialmente projetada para MS SQL Server. É um aplicativo da Web independente e foi totalmente integrado aos painéis de controle de hospedagem, incluindo o Parallels Plesk. Usando MyLittleAdmin, você pode gerenciar a maioria dos objetos de bancos de dados e servidores MS SQL Server por meio de um navegador da web.

Embora o produto pareça ter sido descontinuado (sem novos lançamentos desde 2013), ele ainda está sendo oferecido no site da empresa bem como parte da instalação opcional do Plesk. Existem também numerosas instalações ativas e milhares de usuários presentes na Internet, por isso ainda é amplamente utilizado e uma exploração pode causar muitos danos.

A vulnerabilidade

MyLittleAdmin utiliza um machineKey codificado para todas as instalações, este valor é mantido no arquivo: C: \ Arquivos de programas (x86) \ MyLittleAdmin \ web.config

Um invasor com esse conhecimento pode serializar objetos que serão analisados ​​pelo código ASP usado pelo servidor como se fosse Objeto serializado de MyLittleAdmin. O invasor pode então se conectar a um servidor remoto e enviar uma carga que inicia um calc.exe no contexto do IIS Application Engine. Permitindo assim que o invasor execute comandos arbitrários no servidor remoto.

O impacto

Essa vulnerabilidade foi uma das descobertas mais populares da SSD em 2020. O próprio comunicado foi visitado várias vezes e inundou as mídias sociais. As descobertas também foram publicadas no site do Plesk e também promovidas pelo The Hacker News e The Daily Swig .

Inúmeras tentativas de contato com o fornecedor foram feitas, mas ainda não recebemos nenhuma resposta, embora tenhamos recebeu muitos comentários dizendo que essa vulnerabilidade já estava sendo explorada.

Felizmente, embora uma solução alternativa oficial ainda não tenha sido publicada, mas graças à nossa grande comunidade, uma solução alternativa foi publicada por Tim Aplin de Umbrellar .

  1. Vá para IIS> Chaves de máquina> Gerar nova chave> Aplicar

2. Execute: IISreset

Encontrou uma vulnerabilidade semelhante? Obteremos a melhor recompensa por isso.

Na SSD, ajudamos os pesquisadores de segurança a transformar suas habilidades na descoberta de vulnerabilidades de segurança em uma carreira. Projetado por pesquisadores, para pesquisadores, o SSD fornece a resposta rápida e o suporte necessário para obter vulnerabilidades de dia zero e divulgações relatadas aos fornecedores e para obter a compensação que os pesquisadores merecem. Ajudamos os pesquisadores a descobrir as vulnerabilidades que afetam os principais sistemas operacionais, software ou dispositivos.

Estamos constantemente publicando nossas descobertas, com o objetivo de educar nossa comunidade global de pesquisadores de segurança. Você pode encontrar mais vulnerabilidades em nossa página de Conselhos . Se você tiver suas próprias descobertas, pode nos enviar suas descobertas aqui usando nosso modelo de relatório.

Junte-se à conversa:

Visite SSD

Twitter

Facebook

Youtube

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *