Progress

研究者は、Progress Telerik Report Serverにおける連鎖的リモートコード実行(RCE)の脆弱性を示す概念実証(PoC)エクスプロイトスクリプトを公開した。

Telerik Report Server は、レポートの作成、共有、保存、配布、およびスケジューリングを合理化するために組織が使用する、API を利用したエンドツーエンドの暗号化レポート管理ソリューションです。

サイバーセキュリティ研究者のSina Kheirkha氏は、Soroush Dalili氏の協力を得てこのエクスプロイトを開発し、現在、認証バイパスとデシリアライズの問題という2つの欠陥を悪用してターゲット上でコードを実行する複雑なプロセスを記述した詳細な記事を公開しています。

不正な管理者アカウントの作成

認証バイパスの欠陥は、CVE-2024-4358(CVSSスコア:9.8)として追跡されており、チェックなしで管理者アカウントを作成できる。

Kheirkhah氏は、4月25日にソフトウェア・ベンダーが、「低特権」ユーザーでなければ悪用できないデシリアライゼーションの問題についてバグを公開した後、この脆弱性の発見に取り組んだという。

研究者は、「StartupController」の「Register」メソッドが認証なしでアクセス可能で、初期設定が完了した後でも管理者アカウントの作成が可能であることを発見し、この欠陥を拡大した。

この問題は、5月15日にアップデート(Telerik Report Server2024 Q2 10.1.24.514)によって対処され、ベンダーは5月31日にZDIチームとの共同速報を公開した。

RCEを達成するために必要な2つ目の欠陥はCVE-2024-1800(CVSSスコア:8.8)で、リモートの認証済み攻撃者が脆弱なサーバー上で任意のコードを実行できるようにするデシリアライゼーションの問題です。

この問題は、以前に発見され、匿名の研究者によってベンダーに報告されましたが、Progress 社は、2024 年 3 月 7 日に Telerik® Report Server2024 Q1 10.0.24.305 を通じて、この問題のセキュリティ更新プログラムをリリースしました。

攻撃者は、XML要素を.NET型に解決する複雑なメカニズムを使用するTelerik Report Serverのカスタムデシリアライザに、「ResourceDictionary」要素を持つ特別に細工されたXMLペイロードを送信できます。

ペイロード内の特別な要素は、「ObjectDataProvider」クラスを使用して、「cmd.exe」の起動など、サーバー上で任意のコマンドを実行します。

デシリアライズのバグを悪用するのは複雑だが、Kheirkhah氏の論文と悪用Pythonスクリプトは公開されているため、攻撃者志願者にとってはかなりわかりやすい事例となっている。

Tweet

つまり、組織はできるだけ早く利用可能なアップデートを適用し、両方の欠陥に対処したバージョン10.1.24.514以降にアップグレードする必要がある。

ベンダーはまた、CVE-2024-4358のアクティブな悪用の報告がないにもかかわらず、システム管理者は、'{host}/Users/Index’に追加された、見覚えのない新しいローカルユーザがいないか、Report Serverのユーザリストを確認するよう助言している。

Progress Softwareの重大な欠陥は、世界中の多数の組織がこのベンダーの製品を使用しているため、高レベルのサイバー犯罪者によって無視されることは通常ありません。

最も特徴的なケースは、2023年3月にClopランサムウェアギャングによってProgress MOVEit Transferプラットフォームのゼロデイ脆弱性を悪用した広範な一連のデータ盗難攻撃です。

このデータ窃盗キャンペーンは、史上最も大規模でインパクトのある恐喝作戦の1つとなり、2,770人以上の犠牲者を出し、間接的に約9,600万人に影響を与えました。