Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Prima Systems erakundearen FlexAir sistemaren ahultasunak

Argitalpen data: 2019/07/31

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

Prima FlexAir, 2.3.38 bertsioa eta aurrekoak.

Deskribapena: 

Applied Risk enpresako Gjoko Krstic ikertzaileak hainbat ahultasunen berri eman du: sistema eragilearen komando injekzio motakoak, fitxategi maltzurren mugarik gabeko karga, CSRF, balio aleatorioen espazio txikia, XSS, baimenik gabeko erabiltzaileei babes fitxategiak erakustea, egiaztapen desegokia eta kredentzial barneratuen erabilera.  Ahultasun horiek baliatuta, urrutiko erasotzaile batek sistema eragilearen komandoak exekutatu litzake, fitxategi maltzurrak kargatu, ekintzak administrari baimenekin burutu, erabiltzailearen nabigatzailean kode arbitrarioa exekutatu, sarbide kredentzialak lortu, egiaztatzeari ihes egin eta sistemarako sarbide osoa izan.

Konponbidea: 

Prima Systems erakundeak FlexAir sistemaren 2.5.12 bertsioa argitaratu du, ahultasun horiek konpontzeko.

Xehetasuna: 

Ondoren, kritikotasun handieneko ahultasunak zehaztu dira:

  • Sistema eragilearen komando injekzioa: Aplikazioak modu desegokian neutralizatzen ditu espazio elementuak. Elementu horiek sistema eragilearen komandoa aldatzeko aukera emango lukete, osteko osagai bati bidaltzen zaionean; hori baliatuz, erasotzaile batek komandoak exekutatu litzake zuzenean, sistema eragilean. CVE-2019-7670 kodea esleitu zaio ahultasun horri.
  • Fitxategi maltzurrak mugarik gabe kargatzea: 
    • Fitxategiak kargatzean luzera modu desegokian balioztatzen bada, urrutiko erasotzaile batek aplikazio maltzurrak kargatu eta exekutatu litzake web aplikazioaren erroan, administrari baimenekin.  Ahultasun horretarako, CVE-2019-7669 identifikatzailea esleitu da.
    • Aplikazioaren bidez, Python sistemako script arbitrarioak karga daitezke, kontrolagailu zentral nagusiaren konfigurazioa egin bitartean. Script horiek administrari moduan exekutatu daitezke zuzenean, eta ez web zerbitzariaren erabiltzaile moduan. Horrela izanik, egiaztatutako erasotzaile batek sistemarako sarbide erabatekoa izan dezake. Ahultasun horretarako, CVE-2019-9189 identifikatzailea esleitu da.
  • Babes fitxategiak erakustea baimenik gabeko erabiltzaileei: Aplikazioak datu-baseko fitxategiak sortzen ditu, erraz asmatzeko moduko izenekin. Horrela, erasotzaile batek fitxategiaren izena aurreikus dezake indarrezko eraso baten bidez. Erasotzaile batek ahultasun hori baliatu dezake eta datu-basearen fitxategia lortu saio hasierako informazioarekin. Horrela, egiaztatzea saihestu eta sistemarako sarbide erabatekoa lortu dezake. Ahultasun horretarako, CVE-2019-7667 identifikatzailea esleitu da.
  • Egiaztatze okerra: Aplikazioaren bidez, egiaztatze egoki bat egin daiteke, pasahitzaren hash MD5 balioa erabiliz. Horrela, erasotzaile batek saioa hasteko datu-baserako sarbidea izan dezake, pasahitzik deszifratu beharrik gabe. Ahultasun horretarako, CVE-2019-7666 identifikatzailea esleitu da.
  • Kredentzial barneratuen erabilera: Web interfazearen flash bertsioak erabiltzaile eta pasahitz barneratuak ditu; horrela izanik, egiaztatutako erasotzaile batek pribilegioetan gora egin lezake. Ahultasun horretarako, CVE-2019-7672 identifikatzailea esleitu da.

Gainerako ahultasunetarako, identifikatzaile batzuk esleitu dira: CVE-2019-7280, CVE-2019-7281 eta CVE-2019-7671.

Etiketak: Eguneraketa, Ahultasuna