-
09/04/2020
-
93
-
613 bài viết
Phát hiện lỗ hổng cho phép thực thi mã tùy ý trong Netwrix Auditor
Bishop Fox đã phát hiện ra một lỗ hổng trong phần mềm Netwrix Auditor, có thể bị khai thác để thực thi mã tùy ý trên các thiết bị bị ảnh hưởng.
Netwrix Auditor là một phần mềm kiểm toán cho phép các tổ chức giám sát cơ sở hạ tầng công nghệ thông tin, được sử dụng bởi hơn 11.000 tổ chức trên thế giới hiện nay.
Lỗ hổng được mô tả là lỗi giải mã đối tượng không an toàn, cho phép kẻ tấn công thực thi mã tùy ý với các đặc quyền của dịch vụ tồn tại lỗ hổng.
Bishop Fox giải thích như sau:“Sự cố này là do .NET remoting không bảo mật an toàn, có thể bị truy cập trên TCP port 9004. Kẻ tấn công có thể lạm dụng lỗi này để thực thi mã tùy ý trên các máy chủ chạy Netwrix Auditor. Vì dịch vụ này thường được thực thi với các đặc quyền rộng trong môi trường Active Directory, kẻ tấn công có khả năng xâm phạm miền Active Directory”.
Các chuyên gia cho biết dịch vụ Netwrix Auditor sẽ chạy với một tài khoản có đặc quyền cao, điều này có thể dẫn đến sự xâm nhập hoàn toàn môi trường Active Directory.
"Công cụ ExploitRemotingService sau đó được sử dụng để gửi đối tượng được tuần tự hóa tới dịch vụ UAVRServer qua .NET Remoting. Kết quả là một thông báo payload đã được thực thi thành công."
“Vì lệnh được thực thi với
Netwrix đã giải quyết lỗ hổng bằng việc phát hành phần mềm verision 10.5 vào ngày 6 tháng 6 năm 2022.
Netwrix Auditor là một phần mềm kiểm toán cho phép các tổ chức giám sát cơ sở hạ tầng công nghệ thông tin, được sử dụng bởi hơn 11.000 tổ chức trên thế giới hiện nay.
Lỗ hổng được mô tả là lỗi giải mã đối tượng không an toàn, cho phép kẻ tấn công thực thi mã tùy ý với các đặc quyền của dịch vụ tồn tại lỗ hổng.
Bishop Fox giải thích như sau:“Sự cố này là do .NET remoting không bảo mật an toàn, có thể bị truy cập trên TCP port 9004. Kẻ tấn công có thể lạm dụng lỗi này để thực thi mã tùy ý trên các máy chủ chạy Netwrix Auditor. Vì dịch vụ này thường được thực thi với các đặc quyền rộng trong môi trường Active Directory, kẻ tấn công có khả năng xâm phạm miền Active Directory”.
Các chuyên gia cho biết dịch vụ Netwrix Auditor sẽ chạy với một tài khoản có đặc quyền cao, điều này có thể dẫn đến sự xâm nhập hoàn toàn môi trường Active Directory.
"Công cụ ExploitRemotingService sau đó được sử dụng để gửi đối tượng được tuần tự hóa tới dịch vụ UAVRServer qua .NET Remoting. Kết quả là một thông báo payload đã được thực thi thành công."
“Vì lệnh được thực thi với
đặc quyền hệ thống, việc khai thác lỗ hổng sẽ cho phép kẻ tấn công xâm nhập hoàn toàn máy chủ Netwrix.”
Netwrix đã giải quyết lỗ hổng bằng việc phát hành phần mềm verision 10.5 vào ngày 6 tháng 6 năm 2022.
Theo securityaffairs
Chỉnh sửa lần cuối: