Se han revelado múltiples fallas de seguridad en Apache OpenMeetings, una solución de conferencias web, que podría ser potencialmente aprovechada por actores maliciosos para tomar el control de las cuentas de administración y ejecutar código malicioso en servidores susceptibles.
«Los atacantes pueden llevar la aplicación a un estado inesperado, lo que les permite apoderarse de cualquier cuenta de usuario, incluida la cuenta de administrador», dijo Stefan Schiller, investigador de vulnerabilidades de Sonar. dicho en un informe compartido con The Hacker News.
«Los privilegios de administrador adquiridos se pueden aprovechar aún más para explotar otra vulnerabilidad que permite a los atacantes ejecutar código arbitrario en el servidor Apache OpenMeetings».
Luego de la divulgación responsable el 20 de marzo de 2023, las vulnerabilidades se abordaron con el lanzamiento de Openmeetings versión 7.1.0 que se lanzó el 9 de mayo de 2023. La lista de tres fallas es la siguiente:
- CVE-2023-28936 (Puntuación CVSS: 5,3) – Comprobación insuficiente del hash de invitación
- CVE-2023-29032 (Puntuación CVSS: 8.1): una omisión de autenticación que conduce al acceso sin restricciones a través del hash de invitación
- CVE-2023-29246 (Puntuación CVSS: 7.2) – Una inyección de byte NULL (% 00) que permite a un atacante con privilegios de administrador obtener la ejecución del código
Las invitaciones a reuniones creadas con OpenMeetings come no solo están vinculadas a una sala y un usuario específicos, sino que también vienen con un hash único que utiliza la aplicación para recuperar los detalles asociados con la invitación.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Los primeros dos defectos, en pocas palabras, tienen que ver con una comparación de hash débil entre el hash proporcionado por el usuario y lo que está presente en la base de datos y una peculiaridad que permite la creación de una invitación de sala sin una sala asignada, lo que lleva a un escenario donde existe una invitación sin sala adjunta.
Un actor de amenazas podría explotar estas deficiencias para crear un evento y unirse a la sala correspondiente, y luego eliminar el evento, momento en el que se crea una invitación para el usuario administrador a la sala no existente. En el siguiente paso, el error de comparación de hash débil podría aprovecharse para enumerar la invitación enviada y canjearla proporcionando una entrada de hash comodín.
«Aunque la sala también se elimina cuando se elimina su evento asociado, la presencia del atacante en la sala la convierte en una sala de zombis», explicó Schiller. «Aunque se genera un error al canjear el hash para dicha invitación, se crea una sesión web válida para el invitado con todos los permisos de este usuario».
En otras palabras, la sala zombie podría permitir que el atacante adquiera privilegios de administrador y realice modificaciones en la instancia de OpenMeetings, lo que incluye agregar y eliminar usuarios y grupos, cambiar la configuración de la sala y finalizar sesiones de usuarios conectados.
Sonar dijo que también identificó una tercera vulnerabilidad que tiene sus raíces en una función que permite a un administrador configurar la ruta para los ejecutables relacionados con ImageMagick, un software de código abierto que se usa para editar y procesar imágenes. Esto permite que un atacante con privilegios de administrador obtenga la ejecución del código cambiando la ruta de ImageMagic a «/bin/sh%00x» y activando comandos de shell arbitrarios.
«Al cargar una imagen falsa que contiene un encabezado de imagen válido seguido de comandos de shell arbitrarios, la conversión genera /bin/sh con el primer argumento como imagen falsa, ejecutando de manera efectiva cada comando en ella», dijo Schiller.
«En combinación con la apropiación de la cuenta, esta vulnerabilidad permite que un atacante autorregistrado obtenga la ejecución remota de código en el servidor subyacente».