Vulnerabilidad en Rapid7 Velociraptor (CVE-2023-0242)

Rapid7 Velociraptor permite crear usuarios con diferentes privilegios en el servidor. Por lo general, los administradores pueden ejecutar cualquier comando en el servidor, incluida la escritura de archivos arbitrarios. Sin embargo, los usuarios con privilegios más bajos generalmente tienen prohibido escribir o modificar archivos en el servidor. La función VQL copy() aplica verificaciones de permisos para leer archivos pero no verifica permisos para escribir archivos. Esto permite que un usuario con privilegios bajos (normalmente usuarios con el rol de "investigador" de Velociraptor) sobrescriba archivos en el servidor, incluidos los archivos de configuración de Velociraptor. Para explotar esta vulnerabilidad, el atacante ya debe tener una cuenta de usuario de Velociraptor con un nivel de privilegio bajo (al menos "analista") y poder iniciar sesión en la GUI y crear un cuaderno donde pueda ejecutar la consulta VQL invocando la copia(). Función VQL. Normalmente, la mayoría de los usuarios implementan Velociraptor con acceso limitado a un grupo confiable (la mayoría de los usuarios serán administradores dentro de la GUI). Esta vulnerabilidad está asociada con archivos de programa https://github.Com/Velocidex/velociraptor/blob/master/vql/filesystem/copy.go https://github.Com/Velocidex/velociraptor/blob/master/vql/filesystem/ copy.go y rutinas de programa copy(). Este problema afecta a las versiones de Velociraptor anteriores a la 0.6.7-5. La versión 0.6.7-5, lanzada el 16 de enero de 2023, soluciona el problema.