.
O mais recente aviso de segurança da Progress Software alerta os clientes sobre a segunda vulnerabilidade crítica que afeta seu Telerik Report Server em alguns meses.
CVE-2024-6327 é uma vulnerabilidade de desserialização insegura (CWE-502) com pontuação CVSS de 9,9. Explorações bem-sucedidas podem levar à execução remota de código (RCE) em servidores executando todas as versões anteriores a 10.1.24.709.
Esses são os tipos de bugs que, em um mundo ideal, deveriam ser corrigidos o mais rápido possível, mas você deve prestar atenção especial a este em particular, devido ao histórico dos invasores com esse tipo de vulnerabilidade neste conjunto de produtos.
Alguns de vocês podem se lembrar do CVE-2019-18935, outra desserialização de vulnerabilidade de dados não confiáveis que afeta o Telerik UI para ASP.NET AJAX. Ele foi usado por vários invasores, incluindo um grupo Advanced Persistent Threat (APT) não especificado para atingir com sucesso agências federais dos EUA em 2023, apesar de ter sido adicionado ao catálogo Known Exploited Vulnerability (KEV) da CISA em 2021.
Em um comunicado de segurança, a CISA disse que o scanner de vulnerabilidades da agência tinha o plugin para detectar CVE-2019-18935, mas não detectou a exploração porque a Telerik UI foi instalada em um caminho de arquivo atípico — uma realidade que, segundo a empresa, provavelmente seria a mesma para muitos usuários.
Embora o APT não tenha sido especificado, o CVE-2019-18935 é um favorito conhecido dos atacantes chineses. A maior parte do comportamento malicioso envolveu reconhecimento e varredura, disse a CISA.
A divulgação da vulnerabilidade a torna o segundo bug de severidade quase máxima no Telerik Report Server em tantos meses. No final de maio, o CVE-2024-4358 com classificação 9.8 também foi descoberto – um bug de bypass de autenticação que permite que invasores se tornem usuários administradores.
Sina Kheirkhah, pesquisadora de segurança da Summoning Team, descobriu a falha e demonstrou como ela poderia ser encadeada com outro bug de desserialização de dados não confiáveis (CVE-2024-1800) no Telerik Report Server de abril para atingir o RCE completo.
Problema em dobro
A Progress também divulgou uma segunda vulnerabilidade, CVE-2024-6096, que afeta o Telerik Reporting, sua ferramenta de relatórios incorporada ao .NET.
Com uma pontuação CVSS de 8,8, não está exatamente na categoria crítica, mas é definitivamente grave o suficiente para que você queira fazer algo a respeito.
É uma vulnerabilidade de resolução de tipo inseguro que pode levar ao RCE por meio de um ataque de injeção de objeto se explorada.
As versões 18.1.24.514 e anteriores são todas afetadas e a atualização para 18.1.24.709 é a única maneira de remover a vulnerabilidade – não há mitigação disponível, disse a Progress. ®
.
