Duas falhas de segurança críticas descobertas no software de nuvem pessoal de código aberto CasaOS podem ser exploradas com sucesso por invasores para alcançar a execução arbitrária de código e assumir o controle de sistemas suscetíveis.
As vulnerabilidades, rastreadas como
CVE-2023-37265
e
CVE-2023-37266
, ambas possuem uma pontuação CVSS de 9,8 de um máximo de 10.
Thomas Chauchefoin, pesquisador de segurança do Sonar, que descobriu os bugs, disse que eles "permitem que os invasores contornem os requisitos de autenticação e obtenham acesso total ao painel do CasaOS".
Ainda mais preocupante, o suporte do CasaOS para aplicativos de terceiros poderia ser usado para executar comandos arbitrários no sistema para obter acesso persistente ao dispositivo ou mudar para redes internas.
Seguindo a divulgação responsável em 3 de julho de 2023, as falhas foram corrigidas na versão 0.4.4 lançada por seus mantenedores, IceWhale, em 14 de julho de 2023.
Uma breve descrição das duas falhas é a seguinte -
CVE-2023-37265
- Identificação incorreta do endereço IP de origem, permitindo que invasores não autenticados executem comandos arbitrários como root nas instâncias CasaOS
CVE-2023-37265
- Invasores não autenticados podem criar Tokens da Web JSON (JWTs) arbitrários e acessar recursos que exigem autenticação e executar comandos arbitrários como root nas instâncias CasaOS
Como consequência da exploração bem-sucedida das falhas mencionadas, os invasores poderiam contornar as restrições de autenticação e obter privilégios administrativos em instâncias vulneráveis do CasaOS.
"Em geral, identificar endereços IP no nível do aplicativo é propenso a riscos e não deve ser usado para decisões de segurança" disse Chauchefoin.
"Vários cabeçalhos diferentes podem transportar essas informações (X-Forwarded-For, Forwarded, etc.), e as APIs de linguagem às vezes precisam interpretar nuances do protocolo HTTP da mesma maneira.
Da mesma forma, todos os frameworks têm suas peculiaridades e podem ser difíceis de navegar sem o conhecimento especializado dessas armadilhas de segurança comuns."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...