Falha crítica no CyberArk permite execução de código remoto

Cofre de senhas expõe contas privilegiadas

10/04/2018 mindsecblog Notícias 0

Falha crítica no CyberArk permite execução de código remoto. Foi descoberta uma vulnerabilidade crítica de execução remota de código no aplicativo CyberArk Enterprise Password Vault que poderia permitir que um invasor obtivesse acesso não autorizado ao sistema com os privilégios do aplicativo da web.

As soluções Enterprise Password Manager (EPV) ou Privileged Account Manager (PAM), ajudam as organizações a gerenciar com segurança suas senhas confidenciais, controlando senhas de contas privilegiadas em uma ampla gama de sistemas operacionais cliente / servidor e mainframe, switches, bancos de dados e mantendo-as protegidas contra invasores externos.

Descoberta pela RedTeam Pentesting GmbH, empresa alemã de segurança cibernética, a vulnerabilidade afeta um desses aplicativos Enterprise Password Vault desenvolvido pela CyberArk – uma ferramenta de segurança e gerenciamento de senhas que gerencia senhas confidenciais e controla contas com privilégios.

A vulnerabilidade (CVE-2018-9843) reside no CyberArk Password Vault Web Access, um aplicativo da web .NET criado pela empresa para ajudar seus clientes a acessarem suas contas remotamente. A falha se deve à forma como o servidor web manipula de forma insegura as operações de desserialização, o que poderia permitir que atacantes executassem código no servidor processando os dados desserializados.

De acordo com os pesquisadores, quando um usuário faz login em sua conta, o aplicativo usa a API REST para enviar uma solicitação de autenticação ao servidor, que inclui um cabeçalho de autorização contendo um objeto .NET serializado codificado em base64. Esse objeto .NET serializado contém as informações sobre a sessão de um usuário, mas os pesquisadores descobriram que a “integridade dos dados serializados não está protegida”.

“O aplicativo CyberArk Password Vault Web Access usa autenticação tokens que consistem em objetos .NET serializados. Criando tokens manipulados, onde os atacantes podem obter execução remota de código não autenticada no servidor da web.“, diz o informe do RedTeam.

“O CyberArk Enterprise Password Vault foi projetado para proteger, gerir e controlar o acesso a credenciais de conta privilegiada com base em políticas. Uma arquitetura flexível permite que as organizações iniciem pequenas e dimensionar para os maiores e mais complexos ambientes de TI. A solução protege as credenciais da conta privilegiada usadas para acessar a grande maioria
de sistemas “. (Data Sheet do Enterprise Password Vault)

O CyberArk Password Vault oferece armazenamento seguro para credenciais e pode ser acessado através de vários clientes que também são fornecidos pela CyberArk. Um desses clientes é o CyberArk Password Vault Web Access, um Aplicativo da web .NET. Depois de entrar no aplicativo da web com suas credenciais, os usuários podem acessar as credenciais mantidas no cofre. Além disso, o CyberArk Password Vault Web Access fornece uma API REST para acesso programático ao cofre. Esta API está disponível em um URL semelhante ao seguinte:

https://10.0.0.6/PasswordVault/WebServices/

A API fornece vários pontos de extremidade com métodos diferentes.
A maioria dos métodos fornecidos pela API requer autenticação prévia.
Conseqüentemente, a chamada da API de um usuário deve incluir um token de autenticação em
um cabeçalho de autorização HTTP. Os tokens podem ser gerados chamando um
método de API “Logon” dedicado.

A análise deste token pelo RedTeam Pentesting revelou que ele consiste de um objeto .NET serializado, codificado em base64 do tipo “CyberArk.Services.Web.SessionIdentifiers”. Esta classe é composta por quatro atributos de string que contêm informações sobre a sessão de um usuário, porém integridade dos dados serializados não está protegida. Portanto, atacantes pode enviar objetos .NET arbitrários para a API no cabeçalho de autorização. Aproveitando certos gadgets, como os fornecidos por
ysoserial.net (ferramenta de software livre para gerar cargas úteis para aplicativos .NET), atacantes podem executar código arbitrário no contexto da aplicação web.

Como o servidor não verifica a integridade dos dados serializados e manipula as operações de desserialização de forma insegura, os invasores podem manipular os tokens de autenticação para injetar seu código malicioso no cabeçalho de autorização, ganhando “execução remota de código não autenticada no servidor web”.

Os pesquisadores também lançaram um código completo de prova de conceito para demonstrar a vulnerabilidade usando o ysoserial.net e executando desserialização dos objetos inseguros. Os detalhes técnicos da vulnerabilidade e do código de exploração surgiram somente depois que a RedTeam reportou a vulnerabilidade à CyberArk e a empresa lançou versões corrigidas do CyberArk Password Vault Web Access.

O risco dessa vulnerabilidade é classificado como alto pelos pesquisadores da RedTeam. Atacantes com acesso para a API REST do PrivateArk Vault Web Access pode executar código arbitrário no servidor da web. Nenhuma credencial é necessária. Atacantes ganham acesso a o sistema com os privilégios do aplicativo da web. Consequentemente, tal acesso pode ser usado como backdoor do aplicativo da web e comprometer outras contas e credenciais. Além disso, os invasores podem alterar o servidor web para atacar o cofre diretamente.

As empresas que usam o CyberArk Password Vault Web Access são altamente recomendadas para atualizar seu software para a versão 9.9.5, 9.10 ou 10.2. Caso você não consiga atualizar o software imediatamente, a solução possível para atenuar essa vulnerabilidade é desabilitar qualquer acesso à API na rota / PasswordVault / WebServices.

fonte: The Hacker News & RedTeam Pentesting GmbH

Veja também: