Específicos técnicos e uma prova de conceito (PoC) foram disponibilizados para uma falha crítica de segurança recentemente divulgada no Progress Software OpenEdge Authentication Gateway e AdminServer, que poderia potencialmente ser explorada para contornar as proteções de autenticação.
Identificada como
CVE-2024-1403
, a vulnerabilidade tem uma classificação máxima de severidade de 10.0 no sistema de pontuação CVSS.
Afeta as versões OpenEdge 11.7.18 e anteriores, 12.2.13 e anteriores, e 12.8.0.
"Quando o OpenEdge Authentication Gateway (OEAG) é configurado com um domínio OpenEdge que usa o provedor de autenticação local do sistema operacional para conceder logins de ID de usuário e senha em plataformas operacionais suportadas por versões ativas do OpenEdge, uma vulnerabilidade nas rotinas de autenticação pode levar ao acesso não autorizado em tentativas de login", disse a empresa em um comunicado enviado no mês passado.
"Da mesma forma, quando uma conexão do AdminServer é feita pelo OpenEdge Explorer (OEE) e pelo OpenEdge Management (OEM), ele também usa o provedor de autenticação local do sistema operacional em plataformas suportadas para conceder logins de ID de usuário e senha que também podem levar a acesso de login não autorizado."
A Progress Software disse que a vulnerabilidade retorna incorretamente o sucesso da autenticação de um domínio local do OpenEdge se tipos inesperados de nomes de usuário e senhas não forem tratados adequadamente, levando ao acesso não autorizado sem a devida autenticação.
A falha foi corrigida nas versões OpenEdge LTS Update 11.7.19, 12.2.14 e 12.8.1.
Horizon3.ai, que fez a engenharia reversa do serviço AdminServer vulnerável, desde então lançou uma PoC para
CVE-2024-1403
, declarando que o problema está enraizado em uma função chamada connect() que é invocada quando uma conexão remota é feita.
Esta função, por sua vez, chama outra função chamada authorizeUser() que valida que as credenciais fornecidas atendem a certos critérios, e passa o controle para outra parte do código que autentica diretamente o usuário se o nome de usuário fornecido corresponder a "NT AUTHORITY\SYSTEM."
"Uma superfície de ataque mais profunda parece que pode permitir que um usuário implante novas aplicações por meio de referências de arquivo WAR remoto, mas a complexidade aumentou dramaticamente ao alcançar esta superfície de ataque por causa do uso de corretores de mensagens de serviço interno e mensagens personalizadas", disse o pesquisador de segurança Zach Hanley.
"Acreditamos que há novamente provavelmente um caminho para a execução de código remoto através da funcionalidade integrada, dado o esforço de pesquisa suficiente."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...