A fornecedora de proteção de dados Arcserve resolveu uma falha de segurança de alta gravidade em seu software de backup Unified Data Protection (UDP) que permite que invasores ignorem a autenticação e obtenham privilégios de administrador.
De acordo com a empresa, o Arcserve UDP é uma solução de proteção de dados e ransomware projetada para ajudar os clientes a evitar ataques de ransomware, restaurar dados comprometidos e permitir uma recuperação efetiva de desastres para garantir a continuidade dos negócios.
A Arcserve lançou o UDP 9.1 para corrigir a vulnerabilidade (rastreada como
CVE-2023-26258
) em 27 de junho, quatro meses após a descoberta e relato do bug pelos pesquisadores de segurança Juan Manuel Fernandez e Sean Doherty, da equipe de invasão red team da MDSec ActiveBreach.
"Durante uma simulação recente de adversários, a equipe de invasão red team da MDSec ActiveBreach realizou um cenário de ransomware, com um objetivo-chave de comprometer a infraestrutura de backup da organização", disseram os pesquisadores.
"Em questão de minutos de análise do código, foi descoberta uma falha crítica de autenticação que permitia o acesso à interface de administração."
Em sistemas que executam o Arcserve UDP 7.0 até 9.0, a falha permite que invasores na rede local acessem a interface de administração do UDP após obterem credenciais de administrador fáceis de serem descriptografadas, capturando solicitações SOAP contendo AuthUUIDs para obter sessões de administrador válidas.
As credenciais de administrador poderiam permitir que atores maliciosos destruíssem os dados dos alvos, apagando os backups em ataques de ransomware.
Os pesquisadores da MDSec ActiveBreach também afirmaram que um par de credenciais de banco de dados MSSQL padrão também poderia ser usado para obter as credenciais de administrador, caso o servidor alvo já esteja corrigido contra o
CVE-2023-26258
e use uma configuração padrão.
A MDSec também compartilhou exploits e ferramentas de prova de conceito que podem ser usadas para escanear instâncias do Arcserve UDP com configuração padrão em redes locais, além de recuperar e descriptografar credenciais explorando a falha de autenticação na interface de gerenciamento.
"Se o invasor estiver posicionado na rede local, podem ser realizadas varreduras para encontrar instâncias que utilizem configurações padrão usando o ArcServeRadar.py", explica a MDSec.
"Por fim, se a versão do ArcServe não foi corrigida (
CVE-2023-26258
), é possível explorar uma falha de autenticação na interface web de gerenciamento e recuperar as credenciais de administrador (ArcServe-exploit.py).
Todas as senhas recuperadas pelas ferramentas podem ser descriptografadas usando o ArcServeDecrypter.exe."
Embora a MDsec tenha trocado mais de uma dúzia de mensagens com a equipe da Arcserve durante o processo de divulgação e tenha sido perguntada como gostariam de ser creditados, a última linha na linha do tempo de divulgação compartilhada no final do relatório diz: "ArcServe lança a correção sem créditos."
A Arcserve afirma que seus produtos de proteção de dados ajudam a proteger os dados de aproximadamente 235.000 clientes em 150 países.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...