O código de prova de conceito (PoC) direcionado a uma vulnerabilidade de desvio de autenticação de alta gravidade no software de backup Arcserve Unified Data Protection (UDP) foi publicado um dia após o lançamento dos patches no início desta semana.
Rastreado como CVE-2023-26258, o defeito de segurança foi identificado na interface de gerenciamento da Web do Arcserve UDP. A exploração bem-sucedida do bug pode permitir que um invasor acesse a interface administrativa.
De acordo com o MDSeca falha foi descoberta na forma como as solicitações HTTP contendo informações de login eram transmitidas entre o navegador da Web e a interface administrativa.
Especificamente, os pesquisadores de segurança do MDSec observaram que um método de validação de usuário sendo invocado cria um cliente agindo como um proxy que se comunica com um serviço da Web responsável por validar as credenciais fornecidas.
Como a localização do serviço web é fornecida na solicitação, os pesquisadores puderam modificar a solicitação para que o cliente entrasse em contato com um servidor HTTP controlado por eles.
Uma análise mais aprofundada das solicitações transmitidas entre o cliente e o serviço da Web permitiu que os pesquisadores identificassem informações como versão do sistema operacional, nome de domínio e nome da conta do administrador, juntamente com um método que valida os usuários por UUID e um AuthUUID valor.
Depois de fornecer o valor AuthUUID ao serviço da Web, os pesquisadores receberam o cookie para uma sessão de administrador válida em resposta, o que lhes permitiu recuperar a senha criptografada dessa conta.
O MDSec relatou a vulnerabilidade no início de fevereiro de 2023. Um patch foi lançado em 27 de junho, cerca de quatro meses depois que um identificador CVE foi atribuído ao bug.
Arcserve UDP 9.1 resolve o CVE-2023-26258, juntamente com uma falha Apache Commons FileUpload (CVE-2023-24998), três vulnerabilidades do Spring Framework tornadas públicas no ano passado e vários outros problemas.
Em 28 de junho, o MDSec lançou o código PoC explorando a vulnerabilidade para recuperar senhas criptografadas, juntamente com ferramentas adicionais para descriptografar as credenciais.
O MDSec alega que, mesmo que as instâncias do Arcserve UDP sejam corrigidas contra essa vulnerabilidade, um invasor na rede local pode procurar instâncias do Arcserve que estejam usando credenciais padrão ou pode tentar recuperar as credenciais do registro do Windows ou usando o serviço Registro remoto .