.
Quatro vulnerabilidades no Perforce Helix Core Server, incluindo um bug crítico de execução remota de código, devem ser corrigidas “imediatamente”, de acordo com a Microsoft, que detectou as falhas e as divulgou ao fornecedor do software.
Perforce Server é uma plataforma de gerenciamento de código-fonte usada nos setores de jogos, governo, militar e tecnologia. A Microsoft opera o GitHub, também uma plataforma de gerenciamento de código-fonte amplamente utilizada, entre outros serviços que competem com o Perforce.
Todas as quatro vulnerabilidades do Perforce podem ser corrigidas com a atualização para a versão 2023.1/2513900.
Os localizadores de falhas de Redmond relataram as falhas de segurança no final de agosto, e o Perforce as corrigiu em novembro, segundo nos disseram, então esperamos que você já tenha atualizado suas instalações e possa relaxar.
Embora a Microsoft diga que não viu nenhum malfeitor abusando de qualquer uma dessas vulnerabilidades, “a exploração da vulnerabilidade mais crítica poderia dar aos invasores não autenticados controle completo sobre sistemas não corrigidos e infraestrutura conectada”, observou a equipe de inteligência de ameaças da gigante do Windows em um relatório este mês.
Aqui está uma olhada em todos os quatro, começando com o RCE crítico.
Este, rastreado como CVE-2023-45849, recebeu uma classificação de gravidade CVSS de 9,0 em 10 pelo Perforce, 9,8 pelo NIST do governo dos EUA e o máximo de 10 pela Microsoft, que, como dissemos, oferece serviços que competem com o Perforce. .
Deixando esse sarcasmo de lado, o buraco é muito ruim: ele pode ser explorado por um invasor remoto não autenticado para executar código como LocalSystem — um alto nível de privilégio que permite acesso a quase tudo. Se alguém conseguir acessar sua implantação vulnerável pela rede ou pela Internet, poderá sequestrá-la, bem como envenenar e roubar sua fonte.
“Um invasor com acesso de execução remota de código em nível de sistema a uma plataforma de gerenciamento de código-fonte pode inserir backdoors em produtos de software, exfiltrar código-fonte e outras propriedades intelectuais e migrar para outras infraestruturas empresariais confidenciais”, alertou a Microsoft.
Ao conduzir sua própria análise de segurança do Perforce Server, os caçadores de bugs de Redmond descobriram que o software funciona como LocalSystem devido à maneira como o servidor lida com o user-bgtask Comando RPC.
Como observou a equipe de segurança, isso foi projetado pelo Perforce, e o manual do Perforce Server diz aos usuários: “Execute o p4 proteja imediatamente após instalar o Helix Server pela primeira vez. Antes da primeira chamada para o p4 proteja, cada usuário do Helix Server é um superusuário e, portanto, pode acessar e alterar qualquer coisa no depósito.”
Se os administradores não complementarem essas medidas pós-instalação, então “neste contexto, ‘cada usuário do Helix Server’ também inclui usuários remotos anônimos não autenticados”, segundo a Microsoft.
Se um administrador não executar manualmente essas etapas pós-instalação, a configuração padrão permitirá que qualquer usuário – incluindo invasores remotos não autenticados – execute comandos, incluindo linhas de comando do PowerShell com blocos de script como LocalSystem.
Portanto, isso é mais uma falha de design do que um erro de programação: se você seguiu a documentação, talvez já esteja seguro. Observamos que a versão 2023.2/2519561 também aborda esse CVE, então talvez certifique-se de ter pelo menos essa versão instalada.
As outras três vulnerabilidades, CVE-2023-5759, CVE-2023-35767 e CVE-2023-45319, receberam classificações CVSS de 7,5. Todas essas falhas poderiam permitir ataques de negação de serviço por usuários remotos e não autenticados.
Além de atualizar para a versão 2023.1/2513900 ou posterior, é uma boa ideia verificar as recomendações do Perforce sobre como proteger o servidor.
Além disso, a Microsoft recomenda que todas as organizações tomem medidas, incluindo higiene básica de segurança (ou seja, aplicar patches de software, usar segmentação de rede), que se aplicam ao Perforce Server ou a quaisquer outros produtos.
Além disso, específico para Perforce Server:
- Use uma VPN e/ou uma lista de permissões de IP para limitar quem pode se comunicar com seu servidor Perforce.
- Emita certificados TLS para usuários legítimos do Perforce e use um proxy de terminação TLS na frente do Perforce Server para validar um cliente via TLS antes de permitir que o usuário se conecte ao Perforce Server.
- Registre todos os acessos ao seu Perforce Server, tanto por meio de seus dispositivos de rede quanto pelo próprio Perforce Server.
- Configure alertas para notificar os administradores de TI e sua equipe de segurança se o processo do Perforce Server falhar.
Perforce não respondeu imediatamente a Strong The Oneinquéritos, mas ao que tudo indica também apoiam estas medidas de mitigação. ®
.
