Microsoft descobre falha crítica de RCE no Servidor Central Perforce Helix
19 de Dezembro de 2023

Foram descobertas quatro vulnerabilidades, uma das quais é classificada como crítica, no Perforce Helix Core Server, uma plataforma de gerenciamento de código-fonte amplamente usada pelos setores de jogos, governo, militar e tecnologia.

Analistas da Microsoft descobriram as falhas durante uma revisão de segurança do produto, que é usado pelos estúdios de desenvolvimento de jogos da empresa, e as relataram de forma responsável à Perforce no final de agosto de 2023.

Embora a Microsoft afirme que não observou nenhuma tentativa de exploração das vulnerabilidades descobertas, recomenda-se que os usuários do produto façam upgrade para a versão 2023.1/2513900, lançada em 7 de novembro de 2023, para mitigar o risco.

As quatro falhas descobertas pela Microsoft envolvem principalmente problemas de negação de serviço (DoS), sendo a mais grave permitindo a execução de código remoto arbitrário como LocalSystem por invasores não autenticados.

As vulnerabilidades são resumidas da seguinte forma:

CVE-2023-5759 (pontuação CVSS 7.5): Não autenticado (DoS) via abuso de cabeçalho RPC.

CVE-2023-45849 (pontuação CVSS 9.8): Execução remota de código não autenticada como LocalSystem.

CVE-2023-35767 (pontuação CVSS 7.5): Não autenticado DoS via comando remoto.

CVE-2023-45319 (pontuação CVSS 7.5): Não autenticado DoS via comando remoto.

A falha mais perigosa do conjunto, CVE-2023-45849 , permite que invasores não autenticados executem código a partir do 'LocalSystem', uma conta do Windows OS de alta privilégio reservada para funções do sistema.

Este nível de conta pode acessar recursos e arquivos do sistema local, modificar as configurações do registro e muito mais.

A vulnerabilidade surge do manuseio incorreto do comando RPC do usuário-bgtask pelo servidor.

Na sua configuração padrão, o Perforce Server permite que invasores não autenticados executem comandos arbitrários remotamente, incluindo scripts do PowerShell, como LocalSystem.

Ao explorar a CVE-2023-45849 , os invasores podem instalar backdoors, acessar informações sensíveis, criar ou modificar configurações do sistema e, potencialmente, assumir o controle total do sistema rodando uma versão vulnerável do Perforce Server.

As três outras vulnerabilidades são menos graves, permitindo ataques de negação de serviço, mas ainda podem causar interrupções operacionais que podem se traduzir em perdas financeiras significativas em implantações de grande escala.

Além de baixar a versão mais recente do Helix Core no portal de downloads do fornecedor, a Microsoft propõe dar os seguintes passos:

Atualize regularmente o software de terceiros.

Restrinja o acesso usando VPN ou lista de permissões IP.

Use certificados TLS com um proxy para validação do usuário.

Registre todos os acessos ao Perforce Server.

Configure alertas de falhas para equipes de TI e segurança.

Use segmentação de rede para conter violações.

Também é recomendado seguir as dicas fornecidas neste guia oficial de segurança.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...