Vulnerabilidades

Un atacante puede cargar archivos con el privilegio del proceso del Servidor Web para el Monitoreo y Gestión Remota Unificada (RMM) de Kaseya VSA 9.5.4.2149 y posteriormente utilizar estos archivos para ejecutar comandos asp La api /SystemTab/uploader.aspx es vulnerable a una carga de archivos arbitraria no autenticada que conduce a RCE. Un atacante puede cargar archivos con el privilegio del proceso del Servidor Web y posteriormente utilizar estos archivos para ejecutar comandos asp. Descripción detallada --- Dada la siguiente petición: ``` POST /SystemTab/uploader.aspx?Filename=shellz.aspx&PathData=C%3A%5CKaseya%5CWebPages%5C&__RequestValidationToken=ac1906a5-d511-47e3-8500-47cc4b0ec219&qqfile=shellz.aspx HTTP/1.1 Host: 192.168.1. 194 Cookie: sessionId=92812726; %5F%5FRequestValidationToken=ac1906a5%2Dd511%2D47e3%2D8500%2D47cc4b0ec219 Content-Length: 12 <%@ Page Language="C#" Debug="true" validateRequest="false" %> <%@ Import namespace="System. Web.UI.WebControls" %> <%@ Import namespace="System.Diagnostics" %> <%@ Import namespace="System.IO" %> <%@ Import namespace="System" %> <%@ Import namespace="System.Data" %> <%@ Import namespace="System. Data.SqlClient" %> <%@ Import namespace="System.Security.AccessControl" %> <%@ Import namespace="System.Security.Principal" %> <%@ Import namespace="System.Collections.Generic" %> <%@ Import namespace="System. Collections" %>

Vapor es un framework web para Swift. En las versiones 4.47.1 y anteriores, un bug en la función "Data.init(base32Encoded:)" abre el potencial para exponer la memoria del servidor y/o de bloquear el servidor (Denegación de Servicio) para aplicaciones en las que datos no confiables pueden terminar en dicha función. Vapor no usa actualmente esta función por sí mismo, por lo que esto sólo afecta a las aplicaciones que usan la función impactada directamente o mediante otras dependencias. La vulnerabilidad está parcheada en la versión 4.47.2. Como solución alternativa, se puede usar una alternativa a la función incorporada de Vapor "Data.init(base32Encoded:)"

Kaseya VSA antes de la versión 9.5.7 permite a los atacantes eludir el requisito de 2FA. La necesidad de usar 2FA para la autenticación en la aplicación del lado del cliente en lugar del lado del servidor y puede ser evadida usando un proxy local. De este modo, se hace inútil la 2FA. Descripción detallada --- Durante el proceso de inicio de sesión, después de que el usuario se autentique con nombre de usuario y contraseña, el servidor envía una respuesta al cliente con los booleanos MFARequired y MFAEnroled. Si el atacante ha obtenido la contraseña de un usuario y ha utilizado un proxy de intercepción (por ejemplo, Burp Suite) para cambiar el valor de MFARequered de True a False, no se solicita el segundo factor, pero el usuario sigue conectado

Kaseya VSA antes de la versión 9.5.7 permite la divulgación de credenciales, como se explotó en la naturaleza en julio de 2021. Por defecto, Kaseya VSA on premise ofrece una página de descarga donde se pueden descargar los clientes para la instalación. La URL por defecto para esta página es https://x.x.x.x/dl.asp. Cuando un atacante descarga un cliente para Windows y lo instala, se genera el archivo KaseyaD.ini (C:\aArchivos de Programa (x86)\aKaseyaXXXXXX\aKaseyaD.ini) que contiene un Agent_Guid y AgentPassword. Este Agent_Guid y AgentPassword pueden ser utilizados para iniciar sesión en dl.asp (https://x.x.x.x/dl.asp?un=840997037507813&pw=113cc622839a4077a84837485ced6b93e440bf66d44057713cb2f95e503a06d9). Esta solicitud autentifica al cliente y devuelve una cookie sessionId que puede ser utilizada en ataques posteriores para evadir la autenticación. Problemas de seguridad descubiertos --- * La página de descarga no autenticada filtra credenciales * Las credenciales del software del agente pueden ser usadas para obtener un sessionId (cookie) que puede ser usado para servicios no destinados a ser usados por los agentes * dl.asp acepta credenciales a través de una solicitud GET * El acceso a KaseyaD.ini le da a un atacante acceso a suficiente información para penetrar la instalación de Kaseya y sus clientes. Impacto --- A través de la página /dl.asp se puede obtener suficiente información para dar a un atacante un sessionId que puede ser usado para ejecutar más ataques (semiautenticados) contra el sistema

Esto afecta al paquete pimcore/pimcore versiones anteriores a 10.0.7. Este problema se presenta debido a la ausencia de comprobación del parámetro storeId en el método collectionsActionGet y groupsActionGet dentro de la clase ClassificationstoreController

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none

La función LengthPrefixedMessageReader en gRPC Swift versiones 1.1.0 y anteriores asigna búferes de longitud arbitraria, lo que permite a atacantes remotos causar un consumo no controlado de recursos y denegar el servicio

Un estado administrado inapropiadamente en el archivo GRPCWebToHTTP2ServerCodec.swift en gRPC Swift versiones 1.1.0 y 1.1.1, permite a atacantes remotos denegar el servicio mediante el envío de peticiones malformadas

La función HTTP2ToRawGRPCServerCodec en gRPC Swift versiones 1.1.1 y anteriores, permite a atacantes remotos denegar el servicio por medio de la entrega de muchos mensajes pequeños dentro de una sola trama HTTP/2, conllevando a una Recursión no controlada y un consumo de la pila