Kritik bir VEEAM kurtarma orkestratörü kimlik doğrulama bypass güvenlik açığı için bir konsept kanıtı (POC), CVE-2024-29855 olarak izlenen güvenlik açığı serbest bırakıldı ve saldırılarda sömürülme riskini artırdı.
İstismar, sitesinde ayrıntılı bir yazı yayınlayan güvenlik araştırmacısı Sina Kheirkhah tarafından geliştirildi. Post, kusurun satıcının bülteninin önerdiğinden daha basit bir şekilde sömürüldüğünü gösterdi.
CVSS v3.1 ("kritik") uyarınca 9.0 olarak derecelendirilen CVE-2024-29855, Veeam Recovery Orkestrator (VRO) sürümlerini etkileyen bir gerçekleştirme baypası güvenlik açığıdır.
Kusur, kimlik doğrulanmamış saldırganların idari ayrıcalıklarla Veeam Recovery Orchestrator Web kullanıcı arayüzünde oturum açmasına izin verir.
Sorun, saldırganların yöneticiler de dahil olmak üzere herhangi bir kullanıcı için geçerli JWT jetonları oluşturmasını sağlayan sert kodlanmış bir JSON Web Token (JWT) sırrı kullanımından kaynaklanmaktadır.
Daha spesifik olarak, JWT Secret, her bir kurulumda herhangi bir rastgelelik veya benzersizlik olmadan jetonlar yaratır ve doğrular, bu da onu sömürülebilir olacak kadar tahmin edilebilir ve statik hale getirir.
Veeam'in güvenlik bülteni, 7.1.0.230 ve 7.0.0.379 tarihli yamalı sürümlere yükseltilmeyi önerir ve ayrıca kusurdan yararlanmak için gereken koşulları açıklar. Bu koşullar, geçerli bir kullanıcı adı ve rolü bilmek ve bir kullanıcıyı etkin bir oturumla hedeflemeyi içerir.
Veeam'in bültenini okur. "Saldırgan, kaçmayı gerçekleştirmek için aktif bir VRO UI erişim belirtecine sahip bir hesabın kullanıcı adını ve rolünü bilmelidir."
Bununla birlikte, Kheirkha'nın yazısında sergilediği gibi, bu gereksinimlerin bazıları çok az çaba ile atlanabilir, bu da bu güvenlik açığını daha zorlu ve etkili hale getirir.
Kheirkhah, rolün belirlenmesinin sadece beş rol olabileceğinden kolayca aşılabileceğini buldu (Drsiteadmin, Drplanauthor, Drplanoperator ve SiteSetupoperator).
Sömürü senaryosu, JWT jetonları üretirken bir maç bulana kadar bu roller arasında yinelemek için tasarlanmıştır.
Saldırıda kullanılacak bir kullanıcı adı bulmak için araştırmacı, sadece hedef uç noktaya bağlanarak elde edilen SSL sertifikasının, tipik olarak bir jeton püskürtme saldırısında kullanılmak üzere alanı ve potansiyel kullanıcı adlarını türetmek için yeterli ipucu içerdiğini belirtiyor.
"Kullanıcı adını bilmek" problemi "türü aşağıdaki çözümle çözülebilir: Administator@evilcorp.local adlı bir kullanıcı olduğu varsayılarak, SSL sertifikasının CN alanına bakarak etki alanı adını bulabilirsiniz ve Kullanıcı adı püskürtülebilir, "diye açıklıyor çağırma ekibindeki araştırmacılar.
Son olarak, "aktif oturum" gereksinimi ile ilgili olarak, Kheirkhah'ın POC senaryosu, aktif bir oturuma vurma şansını artırmak için JWT jetonlarını bir dizi zaman damgası üzerinde oluşturur ve test eder.
Daha hedefli ve gizli bir yaklaşım, kullanıcı etkinlik sürelerini araştırmak olacaktır. Ayrıca, aktif bir oturum belirteci eşleşene kadar sürekli denemeler içeren 'kaba kuvvet' yaklaşımı da vardır.
CVE-2024-29855'in istismarı artık herkese açık olarak mevcut olduğundan, saldırganlar muhtemelen piyasaya sürülmemiş sistemlere karşı yararlanmaya çalışacaklar, bu nedenle mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamak çok önemlidir.
Kritik Veeam Auth Bypass için istismar mevcut, şimdi yama
Kritik İlerleme için İstismar Telerik Auth Bypass Serbest Bırakılan, Şimdi Yama
Maksimum Ceza Fortinet RCE Bug, Patch şimdi piyasaya sürülen istismar
QNAP QTS Sıfır Günündeki Paylaşım Özelliği Halka Giriyor RCE istismar
D-Link Exo AX4800 yönlendiriciler
Kaynak: Bleeping Computer