À la suite du piratage de SolarWinds de l’année dernière, un chercheur en sécurité de SpiderLabs de Trustwave a décidé de se pencher davantage sur le logiciel de l’entreprise pour voir s’il pouvait trouver des vulnérabilités supplémentaires.
Dans un nouveau billet de blog, le responsable de la recherche en sécurité chez Trustwave, Martin Rakhmanov, a révélé qu’il avait trouvé trois bogues graves dans deux produits de SolarWinds. Heureusement, aucune de ces vulnérabilités n’a été exploitée lors des récentes attaques SolarWinds ou lors d’attaques dans la nature, mais l’un des trois bogues récemment découverts pourrait être exploité pour exécuter du code à distance avec des privilèges élevés.
Rakhmanov a commencé son enquête en examinant d’autres produits SolarWinds basés sur son framework Orion. Il a installé le logiciel User Device Tracker de la société et a été invité à configurer Microsoft Message Queue (MSMQ) qui existe depuis plus de deux décennies et n’est plus installé par défaut sur les systèmes Windows modernes. Après avoir examiné l’énorme liste de files d’attente privées, Rakhmanov a constaté que ces files d’attente ne sont pas authentifiées, ce qui signifie que les utilisateurs non authentifiés peuvent leur envoyer des messages via le port TCP 1801.
De là, il a vérifié dans quelle mesure SolarWinds sécurise les informations d’identification pour sa base de données backend. C’est alors que Rakhmanov a découvert qu’il pouvait déchiffrer les mots de passe stockés dans la base de données de l’entreprise à l’aide d’un logiciel facilement disponible. En utilisant ces mots de passe, quelqu’un peut voler des informations ou même ajouter un nouvel utilisateur de niveau administrateur dans les produits SolarWinds Orion.
Sommaire
Vulnérabilité FTP Serv-U
Pour terminer son enquête, Rakhmanov a examiné un autre produit SolarWinds appelé Serv-U FTP pour Windows pour découvrir que le logiciel stocke les comptes sur disque dans des fichiers séparés.
Comme les listes de contrôle d’accès aux répertoires dans le logiciel permettent une compromission complète par tout utilisateur Windows authentifié, n’importe qui peut se connecter localement ou via un bureau à distance et déposer un fichier qui définit un nouvel utilisateur et Ser-U FTP le récupérera automatiquement. Étant donné que de nouveaux utilisateurs peuvent être créés de cette façon, ces comptes peuvent être mis à niveau vers le statut d’administrateur pour permettre à quiconque de se connecter via FTP et de lire ou de remplacer n’importe quel fichier sur le lecteur C d’un système puisque le serveur FTP fonctionne en tant que LocalSystem.
Trustwave a signalé de manière responsable tous ces bogues à SolarWinds et la société a ensuite publié des correctifs en temps opportun qui sont disponibles par téléchargement direct ici et dans un message sur son site.
Cependant, comme certains utilisateurs n’ont pas encore corrigé leurs systèmes, SpiderLabs attendra plus tard pour publier son code de preuve de concept (PoC) pour ces bogues.
