Vulnerabilidades Críticas Descobertas no Software de Nuvem Open Source CasaOS
19 de Outubro de 2023

Duas falhas de segurança críticas descobertas no software de nuvem pessoal de código aberto CasaOS podem ser exploradas com sucesso por invasores para alcançar a execução arbitrária de código e assumir o controle de sistemas suscetíveis.

As vulnerabilidades, rastreadas como CVE-2023-37265 e CVE-2023-37266 , ambas possuem uma pontuação CVSS de 9,8 de um máximo de 10.

Thomas Chauchefoin, pesquisador de segurança do Sonar, que descobriu os bugs, disse que eles "permitem que os invasores contornem os requisitos de autenticação e obtenham acesso total ao painel do CasaOS".

Ainda mais preocupante, o suporte do CasaOS para aplicativos de terceiros poderia ser usado para executar comandos arbitrários no sistema para obter acesso persistente ao dispositivo ou mudar para redes internas.

Seguindo a divulgação responsável em 3 de julho de 2023, as falhas foram corrigidas na versão 0.4.4 lançada por seus mantenedores, IceWhale, em 14 de julho de 2023.

Uma breve descrição das duas falhas é a seguinte -

CVE-2023-37265 - Identificação incorreta do endereço IP de origem, permitindo que invasores não autenticados executem comandos arbitrários como root nas instâncias CasaOS

CVE-2023-37265 - Invasores não autenticados podem criar Tokens da Web JSON (JWTs) arbitrários e acessar recursos que exigem autenticação e executar comandos arbitrários como root nas instâncias CasaOS

Como consequência da exploração bem-sucedida das falhas mencionadas, os invasores poderiam contornar as restrições de autenticação e obter privilégios administrativos em instâncias vulneráveis do CasaOS.

"Em geral, identificar endereços IP no nível do aplicativo é propenso a riscos e não deve ser usado para decisões de segurança" disse Chauchefoin.

"Vários cabeçalhos diferentes podem transportar essas informações (X-Forwarded-For, Forwarded, etc.), e as APIs de linguagem às vezes precisam interpretar nuances do protocolo HTTP da mesma maneira.

Da mesma forma, todos os frameworks têm suas peculiaridades e podem ser difíceis de navegar sem o conhecimento especializado dessas armadilhas de segurança comuns."

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...