Vulnerabilidad en Rapid7 Velociraptor (CVE-2023-0290)

Rapid7 Velociraptor no sanitizaba adecuadamente el parámetro de ID del cliente en la API CreateCollection, lo que permitía un directory traversal donde se podía escribir la tarea de recopilación. Era posible proporcionar una identificación de cliente de "../clients/server" para programar la recopilación para el servidor (como un artefacto del servidor), pero solo se requerían privilegios para programar recopilaciones en el cliente. Normalmente, para programar un artefacto en el servidor, se requiere el permiso COLLECT_SERVER. Normalmente, este permiso sólo se concede al rol de "administrador". Debido a este problema, basta con tener el privilegio COLLECT_CLIENT, que normalmente se otorga al rol de "investigador". Para aprovechar esta vulnerabilidad, el atacante ya debe tener una cuenta de usuario de Velociraptor al menos a nivel de "investigador" y poder autenticarse en la GUI y emitir una llamada API al backend. Normalmente, la mayoría de los usuarios implementan Velociraptor con acceso limitado a un grupo confiable y la mayoría de los usuarios ya serán administradores dentro de la GUI. Este problema afecta a las versiones de Velociraptor anteriores a la 0.6.7-5. La versión 0.6.7-5, lanzada el 16 de enero de 2023, soluciona el problema.