Progress Software предупреди клиентите си да поправят критичен недостатък в сигурността, свързан с отдалечено изпълнение на код, в сървъра Telerik Report Server, който може да се използва за компрометиране на уязвими устройства.

Като сървърно базирана платформа за изготвяне на отчети Telerik Report Server осигурява централизирано съхранение на отчети и инструментите, необходими за тяхното създаване, внедряване, предоставяне и управление в организацията.

Проследена като CVE-2024-6327, уязвимостта се дължи на слабост в десериализирането на ненадеждни данни, която нападателите могат да използват, за да получат отдалечено изпълнение на код на непоправени сървъри.

Уязвимостта засяга Report Server 2024 Q2 (10.1.24.514) и по-ранни версии и е поправена във версия 2024 Q2 (10.1.24.709).

„Актуализирането до Report Server 2024 Q2 (10.1.24.709) или по-нова версия е единственият начин за отстраняване на тази уязвимост“, предупреди производителят на бизнес софтуер в консултация от сряда. „Екипът на Progress Telerik настоятелно препоръчва извършването на актуализация до най-новата версия“.

Администраторите могат да проверят дали сървърите им са уязвими на атаки, като преминат през тези стъпки:

• Отидете в уеб интерфейса на Report Server и влезте в него, като използвате акаунт с администраторски права
• Отворете страницата Configuration (~/Configuration/Index).
• Изберете раздела About (За) и номерът на версията ще бъде показан в панела вдясно.

Progress предлага и временни мерки за смекчаване на последиците за тези, които не могат да обновят устройствата си до най-новата версия.

Това изисква промяна на потребителя на пула от приложения на сървъра за отчети на такъв с ограничени права. Тези, които все още не разполагат с процедура за създаване на потребители на IIS и присвояване на App Pool, могат да следват информацията в този документ за поддръжка на Progress.

По-стари недостатъци на Telerik са обект на атака

Въпреки че Progress все още не е споделил дали CVE-2024-6327 е била използвана в  природата, други уязвимости на Telerik са били обект на атаки през последните години.

Например през 2022 г. уеб сървърът на Microsoft Internet Information Services (IIS) на федерална агенция на САЩ е бил хакнат чрез използване на критичната уязвимост CVE-2019-18935 на Progress Telerik UI, която е включена в списъка на ФБР с най-издирваните уязвимости и в списъка на NSA с 25-те най-използвани от китайски хакери грешки в сигурността.

Според съвместна консултация на CISA, ФБР и MS-ISAC поне две групи за заплахи (една от тях – виетнамската XE Group) са проникнали в уязвимия сървър.

По време на пробива те са разгърнали множество полезни товари от злонамерен софтуер и са събирали и ексфилтрирали информация, като са поддържали достъп до компрометираната мрежа между ноември 2022 г. и началото на януари 2023 г.

Неотдавна изследователи по сигурността разработиха и пуснаха доказателство за концепцията (PoC) за експлойт, насочен към отдалечено изпълнение на код на сървъри Telerik Report чрез верижно свързване на критичен недостатък за заобикаляне на удостоверяването (CVE-2024-4358) и RCE с висока степен на опасност (CVE-2024-1800).