Progress Software ha advertido a los clientes que parcheen una falla crítica de seguridad de ejecución remota de código en Telerik Report Server que puede usarse para comprometer dispositivos vulnerables.
Como plataforma de informes basada en servidor, Telerik Report Server proporciona almacenamiento centralizado para informes y las herramientas necesarias para crearlos, implementarlos, distribuirlos y administrarlos en toda una organización.
Seguimiento como CVE-2024-6327La vulnerabilidad se debe a una deserialización de datos que no son de confianza debilidad que los atacantes pueden aprovechar para obtener la ejecución remota de código en servidores sin parches.
La vulnerabilidad afecta a Report Server 2024 Q2 (10.1.24.514) y versiones anteriores y se ha solucionado en la versión. 2024 T2 (10.1.24.709).
“La actualización a Report Server 2024 Q2 (10.1.24.709) o posterior es la única forma de eliminar esta vulnerabilidad”, dijo el fabricante de software empresarial. prevenido en un aviso publicado el miércoles. “El equipo de Progress Telerik recomienda encarecidamente actualizar a la última versión. »
Los administradores pueden comprobar si sus servidores son vulnerables a ataques siguiendo estos pasos:
- Acceda a la interfaz web de su servidor de informes e inicie sesión con una cuenta con derechos de administrador.
- Abra la página de configuración (~/Configuración/Índice).
- Seleccione la pestaña Acerca de y el número de versión se mostrará en el panel derecho.
Progress también proporciona medidas de mitigación temporales para aquellos que no pueden actualizar inmediatamente sus dispositivos a la última versión.
Esto requiere cambiar el usuario del grupo de aplicaciones del servidor de informes a uno con permisos limitados. Aquellos que aún no tengan un procedimiento para crear usuarios de IIS y asignar grupos de aplicaciones pueden seguir la información de este documento adjunto de Progreso.
Vulnerabilidades antiguas de Telerik atacadas
Aunque Progress aún no ha indicado si CVE-2024-6327 ha sido explotado en estado salvaje, en los últimos años se han atacado otras vulnerabilidades de Telerik.
Por ejemplo, en 2022, el servidor web Microsoft Internet Information Services (IIS) de una agencia federal de EE. UU. fue pirateado explotando la vulnerabilidad crítica CVE-2019-18935 en la interfaz de usuario de Progress Telerik, que está incluida en la lista de vulnerabilidades más importantes del FBI. Errores específicos y los 25 errores de seguridad principales de la NSA explotados por piratas informáticos chinos.
Según un aviso conjunto de CISA, FBI y MS-ISAC, al menos dos grupos de amenazas (uno de ellos los vietnamitas) Grupo XE) violó el servidor vulnerable.
Durante la infracción, implementaron múltiples cargas útiles de malware y recopilaron y exfiltraron información mientras mantenían el acceso a la red comprometida entre noviembre de 2022 y principios de enero de 2023.
Más recientemente, investigadores de seguridad desarrollaron y lanzaron un exploit de prueba de concepto (PoC) dirigido a la ejecución remota de código en servidores Telerik Report encadenando una falla crítica de omisión de autenticación (CVE-2024-4358) y un ECR de alta gravedad (CVE-2024-1800).
