Отсутствие аутентификации Telerik — новая функциональная возможность
Уязвимости Telerik Report Server, идентифицированные как CVE-2024-4358 и CVE-2024-1800, позволяют злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код на уязвимых серверах.
Схема атаки
📌Первоначальный доступ: злоумышленник идентифицирует уязвимый экземпляр сервера отчетов Telerik.
📌Использование CVE-2024-4358: Злоумышленник отправляет обработанный запрос на конечную точку /Startup/Register для создания новой учетной записи администратора.
📌Повышение привилегий: Злоумышленник входит в систему, используя только что созданную учетную запись администратора.
📌Использование CVE-2024-1800: Злоумышленник создает вредоносный отчет, который использует уязвимость десериализации для выполнения произвольного кода.
📌Выполнение команды: Злоумышленник выполняет произвольные команды на сервере, добиваясь удаленного выполнения кода.
Сценарий атаки
Идентификация цели:
📌Злоумышленник идентифицирует уязвимый экземпляр сервера отчетов Telerik, как правило, путем сканирования общедоступных экземпляров с помощью таких инструментов, как Shodan.
Обход проверки подлинности (CVE-2024-4358):
📌Злоумышленник использует уязвимость в мастере настройки сервера отчетов Telerik для обхода проверки подлинности. Эта уязвимость позволяет злоумышленнику создать новую учетную запись администратора без предварительной проверки подлинности.
📌Конкретной используемой конечной точкой является Telerik.ReportServer.Web.dll! Telerik.ReportServer.Web.Controllers.StartupController.Register, которая не проверяет, был ли процесс установки уже завершен.
📌Злоумышленник отправляет созданный HTTP-запрос на конечную точку /Startup/Register для создания новой учетной записи администратора:
curl 'http://TARGET_HERE/Startup/Register' -d 'Username=USERNAME_HERE& Password=PASSWORD_HERE& ConfirmPassword=PASSWORD_HERE& Email=backdoor%http://40admin.com& FirstName=backdoor& LastName=user'
Создание учетной записи и проверка подлинности:
📌После успешной эксплуатации злоумышленник получает привилегированный доступ к серверу отчетов Telerik, используя только что созданную учетную запись администратора.
📌Злоумышленник входит в систему, используя учетные данные учетной записи backdoor, созданной на предыдущем шаге.
Эксплойт десериализации (CVE-2024-1800):
📌Имея административный доступ, злоумышленник использует уязвимость десериализации на сервере отчетов Telerik для выполнения произвольного кода на сервере.
📌Злоумышленник создает вредоносный отчет, который запускает ошибку десериализации, позволяя выполнять произвольные команды на сервере.
📌Скрипт PoC автоматизирует этот процесс, включая генерацию случайных имен пользователей и паролей для бэкдорской учетной записи и создание отчета о вредоносных программах:
python http://CVE-2024-4358.py --target http://192.168.253.128:83 -c «whoami»