Sistemas de recuperación de datos DELL: Vulnerabilidades
Sistemas de recuperación de datos DELL: Vulnerabilidades
Sistemas de recuperación de datos DELL: Vulnerabilidades
Sistemas de recuperación de datos DELL. Un pen-tester ha encontrado seis vulnerabilidades en los dispositivos Dell EMC RecoverPoint, incluida una falla crítica en la ejecución del código remoto que podría permitir el compromiso total del sistema.
EMC RecoverPoint es una herramienta de recuperación de desastres que se puede utilizar para realizar copias de seguridad del almacenamiento de información local y remota, en centros de datos y en máquinas físicas y virtuales.
Continuamente, en tiempo real, replica los datos, por lo que en caso de que un sistema se vea comprometido o se pierdan datos (por ejemplo, un ataque de ransomware o un desastre natural), RecoverPoint permite a una empresa retroceder en el tiempo y recuperar una imagen de esos datos desde un momento específico en el tiempo.
Cada uno de los defectos afecta a todas las versiones de Dell EMC RecoverPoint anterior a 5.1.2 y RecoverPoint para máquinas virtuales anteriores a 5.1.1.3.
Hasta el momento, el vendedor ha corregido tres de los problemas, publicados el lunes en la advertencia DSA-2018-095 (el aviso no público está disponible para los clientes registrados a través del Centro de respuesta de seguridad del producto del proveedor).
Uno de los problemas informados (PSRC-5489) se trata como un defecto del producto y se ha abordado en las mismas versiones; y Dell EMC ofrece soluciones para los otros dos con una guía de configuración de productos actualizada.
La más grave de las vulnerabilidades, y uno de los errores reparados, se clasifica como crítica (CVE-2018-1235, CVSS 9.8). Permite la ejecución de código remoto no autenticado con privilegios de root, que puede entregar las claves del reino a un atacante.
Según el probador de penetración de Foregenix, Paul Taylor, un mal actor con visibilidad de un dispositivo RecoverPoint en la red (remota o localmente) no solo puede obtener control total sobre el dispositivo RecoverPoint en sí, sino también sobre el sistema operativo Linux subyacente. No se necesitan credenciales para llevar a cabo el ataque. A partir de ahí, los perpetradores pueden pivotar para causar más estragos.
Léase también: La neutralidad de la red
Para mostrar el grado de compromiso posible, durante el compromiso, una vez que Foregenix tuvo el control total de los dispositivos RecoverPoint, fue posible explotar algunas de las vulnerabilidades de día cero descubiertas para pivotar y obtener el control de la red de Microsoft Active Directory. con el que se integraron los RecoverPoints “, dijo en una publicación de divulgación, en particular la opción de configuración insegura antes mencionada.
Dell EMC y Taylor no brindan más detalles sobre la falla de clasificación crítica por temor a que los atacantes puedan usarlos como un modelo para explotar la falla mientras las empresas trabajan para aplicar la solución.
Otra vulnerabilidad parchada es un error administrativo de lectura de archivo de menú administrativo de gravedad media (CVE-2018-1242, CVSS 6.7). Permite que un atacante con acceso local al menú administrativo “boxmgmt” pueda leer archivos del sistema de archivos, dijo el vendedor. Curiosamente, este mismo sistema fue parcheado para una vulnerabilidad diferente en febrero, para un problema de escalamiento de privilegios que podría permitir a un atacante local ejecutar comandos arbitrarios con privilegios de administrador en el sistema de destino.
El tercer problema parcheado también es un error de gravedad media (CVE-2018-1241, CVSS 6.2). Aquí, las credenciales de texto plano de LDAP se filtran a un archivo de registro de Tomcat si un usuario inicia sesión en una cuenta de LDAP a través de la interfaz web de RecoverPoint. El problema es que las credenciales pueden permanecer en el archivo de registro indefinidamente, y los atacantes con acceso al sistema de archivos RecoverPoint pueden secuestrarlas y poner en peligro la cuenta LDAP.
Las dos vulnerabilidades no parcheadas implican el hecho de que RecoverPoint se envía con un hash de contraseña del sistema almacenado en un archivo legible por todo el mundo (es decir, puede ser leído por cualquier usuario, según Taylor); y el uso de una contraseña raíz predeterminada que solo se puede cambiar en algunas versiones poniéndose en contacto con el proveedor.
Dell EMC emitió inicialmente un CVE para la primera vulnerabilidad, pero luego lo revocó. Un vocero le dijo a Threatpost que el problema reportado, cuando no está encadenado con otras vulnerabilidades parcheadas conocidas, no da como resultado un resultado negativo en sí mismo.
De acuerdo con nuestra investigación interna, los archivos que contenían el hash de contraseña de grub solo pueden ser leídos por el usuario raíz a través del acceso SSH (independientemente de los permisos del archivo)”, explicó. “El usuario de nivel raíz ya tiene acceso al archivo de configuración de grub que contiene el mismo hash. El usuario de nivel raíz también puede restablecer la contraseña de grub en cualquier momento. Por estas razones, decidimos no asignar un CVE para este problema “.
No obstante, Dell EMC ha solucionado el problema en la última actualización, que también eliminará hashes expuestos de los archivos enumerados.
Entérese: Fibra optica en México: en el Top10 de la OCDE
En cuanto a la preocupación por la contraseña, Taylor dijo que la contraseña en cuestión es para la cuenta raíz del sistema operativo Linux subyacente de RecoverPoint. Por lo tanto, comprometer la contraseña de root de un dispositivo significa que un atacante podría obtener el control de todos los dispositivos usando la misma contraseña predeterminada, iniciando sesión en la consola local u obteniendo acceso a la consola como usuario sin privilegios y cambiando a la raíz.
“El inicio de sesión remoto para la cuenta raíz está deshabilitado por defecto en RecoverPoint y Dell EMC recomienda no cambiar esta configuración predeterminada por razones de seguridad”, nos dijo el vocero. Sin embargo, agregó que los clientes pueden autogestionar la contraseña de root en las versiones más nuevas, y el proveedor ha actualizado su documentación para incluir instrucciones detalladas sobre cómo cambiarla. Para versiones anteriores del producto, Dell EMC aconseja a los clientes que se comuniquen con el soporte al cliente para obtener asistencia.
Y, por último, la configuración insegura permite que las credenciales LDAP sean enviadas en texto claro, lo que significa que pueden ser interceptadas por atacantes en una ofensiva man-in-the-middle, o por alguien que ha obtenido acceso al dispositivo RecoverPoint usando otra vulnerabilidad. Hay mucho en juego en este caso si el parche crítico no se ha aplicado: Foregenix pudo explotar esta falla para interceptar las credenciales enviadas desde el dispositivo RecoverPoint, con el fin de comprometer un dominio de Microsoft Active Directory.
Conócenos en Facebook
Sistemas de recuperación de datos DELL: Vulnerabilidades
Sistemas de recuperación de datos DELL: Vulnerabilidades
Fuente:https://threatpost.com/six-vulnerabilities-found-in-dell-emcs-disaster-recovery-system-one-critical/132179/