Fortra FileCatalyst Workflow este vulnerabil la o vulnerabilitate de injectare SQL care ar putea permite atacatorilor remote neautentificați să creeze utilizatori admin rogue și să manipuleze datele din baza de date a aplicației.
FileCatalyst Workflow este o platformă web de schimb și partajare de fișiere care suportă dimensiuni mari de fișiere. Este utilizată de organizații din întreaga lume pentru a accelera transferurile de date și a colabora în spații cloud private.
Vulnerabilitatea critică (CVSS v3.1: 9.8), urmărită ca CVE-2024-5276, a fost descoperită la 18 iunie 2024 de către cercetătorii Tenable, dar a fost făcută publică doar ieri.
Fortra explică într-un buletin de securitate că vulnerabilitatea permite crearea de utilizatori admin și manipularea bazei de date, dar furtul de date nu este viabil prin aceasta.
„O vulnerabilitate de injectare SQL în Fortra FileCatalyst Workflow permite unui atacator să modifice datele aplicației”, se arată în buletinul Fortra.
Impactele probabile includ crearea de utilizatori administrativi și ștergerea sau modificarea datelor din baza de date a aplicației. Exfiltrarea datelor prin injectare SQL nu este posibilă folosind această vulnerabilitate.
Defecțiunea afectează FileCatalyst Workflow 5.1.6 Build 135 și versiunile mai vechi. Soluțiile au fost făcute disponibile în FileCatalyst Workflow 5.1.6 build 139, care este actualizarea recomandată pentru utilizatori.
Exploatarea neautentificată necesită, de asemenea, activarea accesului anonim pe instanța țintă. În caz contrar, este necesară autentificarea pentru a exploata CVE-2024-5276.
Tenable a descoperit CVE-2024-5276 la 15 mai 2024 și a dezvăluit pentru prima dată problema către Fortra la 22 mai, împreună cu un exploit de concept (PoC) care demonstrează vulnerabilitatea.
În același timp cu publicarea buletinului de securitate al Fortrei, Tenable a publicat exploitul său, prezentând modul în care un atacator remote anonim poate efectua injectarea SQL prin parametrul „jobID” în diverse puncte terminale URL ale aplicației web Workflow.
Problema este că metoda „findJob” folosește un „jobID” furnizat de utilizator fără a curăța intrarea pentru a forma clauza „WHERE” într-o interogare SQL, permițând unui atacator să introducă coduri malitioase.
Scriptul Tenable se autentifică în aplicația FileCatalyst Workflow anonim și efectuează o injectare SQL prin parametrul „jobID” pentru a insera un nou utilizator admin („operator”) cu o parolă cunoscută („password123”).
În cele din urmă, acesta obține tokenul de conectare și folosește noile credențiale de admin create pentru a se conecta la punctul final vulnerabil.
Nu au fost raportate cazuri de exploatare activă a problemei, dar lansarea unui exploit funcțional ar putea schimba acest lucru foarte curând.
La începutul anului 2023, gruparea de ransomware Clop a exploatat o vulnerabilitate zero-day a Fortra GoAnywhere MFT, urmărită ca CVE-2023-0669, în atacuri de furt de date pentru a șantaja sute de organizații care utilizează produsul.
Exploit pentru vulnerabilitatea critica de bypass al autentificării Veeam disponibil, instalați acum patch-ul
Exploit pentru vulnerabilitatea de bypass al autentificării Progress Telerik disponibil, instalați acum patch-ul
Vulnerabilitate zero-day QNAP QTS în funcția Share primește un exploit public RCE
Exploit lansat pentru bug-ul de severitate maximă Fortinet RCE, instalați acum patch-ul
Leave a Reply