В Apache OpenMeetings, решение за уеб конференции, са разкрити множество пропуски в сигурността, които могат да бъдат използвани от злонамерени лица за завземане на администраторски акаунти и стартиране на зловреден код на уязвими сървъри.

„Атакуващите могат да приведат приложението в неочаквано състояние, което им позволява да поемат контрола над всеки потребителски акаунт, включително администраторския акаунт“, казва Стефан Шилер, изследовател на уязвимостите в Sonar, в доклад, споделен с The Hacker News.

„Придобитите администраторски привилегии могат да бъдат използвани по-нататък за експлоатиране на друга уязвимост, позволяваща на нападателите да изпълняват произволен код в сървъра Apache OpenMeetings.“

След отговорното разкриване на 20 март 2023 г. уязвимостите бяха отстранени с пускането на версия 7.1.0 на OpenMeetings, която беше пусната на 9 май 2023 г. Списъкът с трите недостатъка е следният –

• CVE-2023-28936 (CVSS оценка: 5.3) – Недостатъчна проверка на хеша на поканата
• CVE-2023-29032 (CVSS оценка: 8.1) – Заобикаляне на удостоверяването, което води до неограничен достъп чрез хеша на поканата
• CVE-2023-29246 (CVSS оценка: 7.2) – Инжектиране на NULL байт (%00), което позволява на нападател с администраторски права да получи изпълнение на код

Поканите за срещи, създадени с помощта на OpenMeetings, идват не само обвързани с конкретна стая и потребител, но и с уникален хеш, който се използва от приложението за извличане на подробности, свързани с поканата.

Първите два недостатъка, накратко, са свързани със слабото сравнение на хеша, предоставен от потребителя, с този, който се намира в базата данни, и със странност, която позволява създаването на покана за среща без определена стая, което води до сценарий, при който съществува покана без свързана с нея стая.

ВИДЕО

Извършителят  би могъл да се възползва от тези недостатъци, за да създаде събитие и да се присъедини към съответната стая, и да го последва, като изтрие събитието, при което за потребителя администратор се създава покана за несъществуващата стая. На следващия етап грешката със слабото сравняване на хешове може да бъде използвана, за да се преброи изпратената покана и да се откупи, като се предостави вход за хеш със заместващ символ.

„Въпреки че стаята също се изтрива, когато се изтрие свързаното с нея събитие, присъствието на атакуващия в стаята превръща тази стая в зомби“, обясни Шилер. „Въпреки че при откупуването на хеш за такава покана се извежда грешка, се създава валидна уеб сесия за поканения с пълните права на този потребител.“

С други думи, зомбираната стая може да позволи на нападателя да придобие администраторски права и да извърши промени в инстанцията на OpenMeetings, включително да добавя и премахва потребители и групи, да променя настройките на стаята и да прекратява сесиите на свързаните потребители.

Sonar заяви, че е идентифицирала и трета уязвимост, която се корени във функция, позволяваща на администратора да конфигурира пътя за изпълними файлове, свързани с ImageMagick – софтуер с отворен код, използван за редактиране и обработка на изображения. Това позволява на нападател с привилегии на администратор да получи изпълнение на код, като промени пътя на ImageMagick на „/bin/sh%00x“ и задейства произволни шел команди.

„Когато сега се качва фалшиво изображение, съдържащо валиден хедър на изображението, последван от произволни шел команди, преобразуването поражда /bin/sh с първи аргумент фалшивото изображение, като ефективно изпълнява всяка команда в него“, каза Шилер.

„В комбинация с превземането на акаунт тази уязвимост позволява на самостоятелно регистриран нападател да получи отдалечено изпълнение на код на основния сървър.“