.
Os clientes do Secret Server da Delinea estão sendo instados a atualizar suas instalações “imediatamente” depois que um pesquisador alegou que uma vulnerabilidade crítica poderia permitir que invasores obtivessem acesso de administrador.
Secret Server é um produto de gerenciamento de acesso privilegiado (PAM) da Delinea (anteriormente conhecido como Thycotic e ThycoticCentrify), o que significa que o acesso em nível de administrador pode fornecer aos invasores uma maneira de obter as credenciais da equipe mais sênior de uma organização. Um tipo de acordo com as chaves do reino.
O pesquisador Johnny Yu descobriu a vulnerabilidade que afeta as implantações locais e na nuvem do Secret Server e publicou os detalhes no final da semana passada, após o que ele diz ter sido uma campanha longa e fracassada para divulgar o problema a Delinea.
Delinea reconheceu a “vulnerabilidade crítica” na API SOAP em 13 de abril e a corrigiu na versão mais recente (11.7.000001), mas não deu crédito nominal a Yu pela descoberta.
Ele também disse que não há evidências que sugiram que a vulnerabilidade, que não recebeu um CVE, foi explorada antes do lançamento da correção e, portanto, acredita-se que todos os dados do cliente estejam seguros.
O lançamento da versão 11.7.000001 ocorreu após uma interrupção de sete horas em 12 de abril, de acordo com a página de status da Delinea, que afirmava estar investigando um incidente de segurança. Delinea bloqueou o tráfego para um endpoint sem nome que continha uma “preocupação de segurança” até que o patch fosse lançado horas depois.
O fornecedor não vinculou explicitamente a vulnerabilidade divulgada ao incidente de segurança que levou à interrupção do serviço um dia antes – a página dedicada à vulnerabilidade do Secret Server também mencionou endpoints SOAP sendo limitados para clientes do Secret Server Cloud.
O especialista da Infosec, Kevin Beaumont, afirmou que foi capaz de confirmar que a interrupção estava relacionada à vulnerabilidade em questão.
“Os clientes locais precisam se atualizar e os clientes da nuvem precisam esperar que Delinea entenda exatamente o que aconteceu e seja transparente sobre os resultados”, disse ele. “Por exemplo, se nada aconteceu, por que existem indicadores de comprometimento do invasor?”
O registro perguntou a Delinea sobre alguns detalhes do incidente, mas não respondeu imediatamente.
Descartando o SOAP
O artigo de Yu afirma que ele fez duas descobertas importantes que levaram à exploração do desvio de autenticação. A primeira foi uma chave codificada usada para desserializar um token de API em um Microsoft.Owin.Security.AuthenticationTicket objeto, e a outra era que cada perfil de usuário tinha um nameidentifier propriedade, que contém uma string inteira.
Ele percebeu que cada conta contém um valor inteiro na ordem em que foi criada, então uma conta de administrador, que é criada durante a instalação do Secret Server, sempre teve o nameidentifier valor de “2”.
“Se conhecermos a chave codificada para desserializar o token da API e soubermos o valor inteiro associado ao perfil de administrador, deveremos ser capazes de criar um token de API serializado com função de administrador e acesso líquido a qualquer recurso protegido do Delinea Secret Server por meio do API de serviços web”, escreveu Yu no blog.
Depois de superar um problema que exigia uma AuthenticationTicket para ser associado a um carimbo de data/hora válido criado por um usuário autenticado, Yu diz que foi capaz de desenvolver uma exploração de escalonamento de privilégios locais (LPE).
Ele então observou que se ele removesse o oauthExpirationId atributo do AuthenticationTicketa verificação do carimbo de data/hora não seria invocada, criando, por sua vez, uma exploração de desvio de autenticação completa.
Yu diz que tentou divulgar a vulnerabilidade à Delinea em 12 de fevereiro, mas foi informado pelo fornecedor que não poderia abrir um caso porque não era um cliente pagante, nem era afiliado a um.
De acordo com seu cronograma de divulgação, o pesquisador tentou trabalhar com o “CERT”, que podemos assumir como US-CERT dada a sede da Delinea em Santa Clara, para divulgar a vulnerabilidade em seu nome.
Delinea supostamente não respondeu às tentativas de divulgação responsável, mesmo após duas prorrogações de prazo.
Yu tornou-se público em 10 de abril, dois dias antes da interrupção de Delinea e do lançamento do patch resultante. ®
.
