Peneliti keamanan telah merilis bukti konsep (PoC) eksploitasi yang menggabungkan dua kerentanan (CVE-2024-4358, CVE-2024-1800) untuk mencapai eksekusi kode jarak jauh tanpa otentikasi pada Progress Telerik Report Servers.
CVE-2024-4358 dan CVE-2024-1800 PoC
Telerik Report Server adalah platform perusahaan terpusat untuk pembuatan, manajemen, penyimpanan, dan pengiriman laporan.
Seperti yang dicatat oleh Censys awal tahun ini, “seorang penyerang dengan akses jarak jauh dan kemampuan untuk mengeksekusi kode berbahaya pada aset semacam itu dapat memungkinkan penyerang tidak hanya mengganggu fungsionalitas pelaporan tetapi juga memahami lebih baik jaringan korban atau mendapatkan akses lebih lanjut dengan memanfaatkan integrasi Active Directory. Serangan semacam itu dapat berfungsi sebagai titik awal atau permulaan pada organisasi korban bagi para penyerang.”
Tentang Kerentanan
CVE-2024-1800 adalah kerentanan deserialisasi tidak aman yang memungkinkan penyerang jarak jauh yang telah diautentikasi untuk mengeksekusi kode sewenang-wenang pada instalasi Telerik yang rentan, yaitu versi sebelum 2024 Q1 (v10.0.24.130).
Kerentanan ini dilaporkan oleh seorang peneliti anonim dan diperbaiki awal tahun ini oleh Progress Software.
Fakta bahwa kerentanan ini ada tetapi memerlukan otentikasi yang berhasil sebelum dapat dimanfaatkan diambil sebagai tantangan oleh peneliti kerentanan Sina Kheirkhah dari Summoning Team, yang mencari dan menemukan kerentanan (CVE-2024-4358) yang dapat menghilangkan persyaratan tersebut.
“Cacat spesifik terjadi dalam implementasi metode Register. Masalah ini terjadi karena kurangnya validasi langkah instalasi saat ini. Penyerang dapat memanfaatkan kerentanan ini untuk melewati otentikasi pada sistem,” kata penasihat Zero Day Initiative.
Atau, seperti yang dijelaskan oleh Kheirkhah lebih sederhana: “Endpoint yang bertanggung jawab untuk mengatur server untuk pertama kalinya dapat diakses tanpa otentikasi bahkan setelah admin menyelesaikan proses penyiapan.”
Kedua kerentanan telah dilaporkan ke Progress Software melalui ZDI, dan Progress memperbaiki CVE-2024-4358 pada bulan Mei, dengan merilis Telerik Report Server 2024 Q2 (v10.1.24.514).
Dengan bantuan dari peretas etis Soroush Dalili, Kheirkhah merancang PoC eksploitasi yang memicu CVE-2024-4358 dan kemudian CVE-2024-1800. Ia merilisnya di GitHub pada hari Senin, dan mempublikasikan analisis penyebab mendasar dari CVE-2024-4358.
Segera Perbarui!
Admin perusahaan disarankan untuk segera memperbarui instalasi Telerik mereka. Sementara CVE-2024-1800 hanya dapat ditutup dengan pembaruan, risiko eksploitasi CVE-2024-4358 dapat sementara dimitigasi dengan menerapkan teknik URL Rewrite (seperti yang dijelaskan dalam penasihat).
Progress Software juga menyarankan admin untuk meninjau daftar pengguna Report Server mereka untuk setiap pengguna Lokal baru yang belum mereka tambahkan di {host}/Users/Index.
Kerentanan dalam solusi perusahaan Progress telah menjadi target penyerang di masa lalu.
Zero-day MOVEit Transfer (CVE-2023-34362) telah dieksploitasi oleh geng ransomware Cl0p untuk mencuri data lebih dari 2.700 organisasi.
Kemudian, akhir tahun lalu, penyerang mulai mengeksploitasi dua kerentanan kritis di WS_FTP Server (solusi transfer file aman Progress lainnya) hanya beberapa hari setelah kode PoC untuk salah satunya dipublikasikan.
Source: https://www.helpnetsecurity.com/2024/06/04/cve-2024-4358-cve-2024-1800-poc/
Source: https://www.helpnetsecurity.com/2024/06/04/cve-2024-4358-cve-2024-1800-poc/