Três vulnerabilidades no Apache OpenMeetings expõem potencialmente as organizações a ataques de execução remota de código, alerta a empresa de segurança cibernética Sonar.
Um aplicativo de webconferência, o OpenMeetings é usado para reuniões online, colaboração e apresentações, seja como software autônomo ou como um plug-in para Confluence, Jira e outros aplicativos.
Na quinta-feira, o Sonar publicou informações sobre três erros do OpenMeetings – CVE-2023-28936, CVE-2023-29023 e CVE-2023-29246 – que podem permitir que invasores mal-intencionados assumam uma conta de administrador e executem códigos arbitrários remotamente.
De acordo com o Sonar, uma falha lógica e uma comparação de hash fraca podem ser exploradas para aquisição de conta. Ao acionar determinadas ações, um invasor pode criar um convite de sala que não tenha uma sala atribuída a ele, o que permite acessar qualquer conta de usuário e obter privilégios de administrador.
“Devido à validação insuficiente de itens configuráveis, os invasores podem usar os privilégios de administrador adquiridos para injetar um byte nulo em um dos caminhos binários. Isso pode ser aproveitado para executar um binário arbitrário e, assim, resultar na execução remota de código”, observa Sonar.
O OpenMeetings vincula os convites de reunião a uma sala específica e a um usuário e também cria um hash exclusivo que usa para recuperar as informações do convite.
A primeira das três vulnerabilidades permite que um invasor “enumere hashes de convite válidos e os resgate”, enquanto o segundo bug pode ser explorado para obter acesso irrestrito a uma sessão.
Para isso, o invasor pode criar um evento, entrar na sala e deletar o evento enquanto estiver presente na sala, o que a transforma em uma ‘sala zumbi’. Em seguida, o invasor cria um convite para o usuário administrador da sala e, usando um caractere curinga, o invasor pode resgatar o convite para si.
“Embora um erro seja gerado ao resgatar o hash para tal convite, uma sessão da web válida para o convidado com permissões totais deste usuário é criada. Esta sessão da web pode ser acessada usando o cookie de sessão na resposta do servidor”, explica Sonar.
O invasor agora pode modificar a configuração da instância do OpenMeetings e, ao injetar um byte nulo no caminho configurado para o executável do ImageMagic, pode obter a execução remota do código.
“Ao fazer o upload de uma imagem falsa contendo um cabeçalho de imagem válido seguido por comandos shell arbitrários, a conversão gera /bin/sh com o primeiro argumento sendo a imagem falsa, executando efetivamente todos os comandos nela”, observa Sonar.
Um invasor autorregistrado pode encadear essas vulnerabilidades para sequestrar uma instância e obter a execução remota de código no servidor subjacente, destaca a empresa de segurança cibernética.
Todas as três vulnerabilidades foram resolvidas na versão 7.1.0 do Apache, lançada em 9 de maio.