A fornecedora de software de proteção de dados Arcserve corrigiu uma falha de segurança de alta gravidade em seu aplicativo de backup Unified Data Protection (UDP) que pode permitir que invasores ignorem a autenticação e obtenham privilégios de administrador do sistema. De acordo com a empresa, o Arcserve UDP é uma solução de proteção de dados e ransomware projetada para impedir ataques de ransomware, restaurar dados comprometidos e permitir a recuperação eficaz de desastres para garantir a continuidade dos negócios.
Para corrigir a vulnerabilidade, rastreada como CVE-2023-26258, a Arcserve lançou na terça-feira, 27, o UDP 9.1, quatro meses depois que o bug foi encontrado e relatado pelos pesquisadores de segurança da equipe Red Team da MDSec ActiveBreach, empresa de consultoria, educação e serviços de segurança. “Durante uma simulação recente, a equipe Red Team [estava] realizando um cenário de ransomware, com um objetivo principal definido em comprometer a infraestrutura de backup da organização”, disseram os pesquisadores. “Poucos minutos após a análise do código, foi descoberto um bypass de autenticação crítico que permitia o acesso à interface de administração.”
Em sistemas que executam o Arcserve UDP, versão 7.0 até 9.0, a falha permite que invasores na rede local acessem a interface administrativa UDP após obter credenciais de administração fáceis de descriptografar, capturando solicitações SOAP (Simple Object Access Protocol, ou protocolo simples de acesso a abjetos) contendo AuthUUIDs (comumente usados para criar tokens de autenticação de API) para obter sessões válidas de administrador. As credenciais de administrador podem permitir que operadores de ameaças destruam os dados dos alvos, limpando os backups em ataques de ransomware.
Veja isso
Nova versão do GravityRAT visa backups do WhatsApp
Repositórios de backup são alvos em 93% dos ransomware
Os pesquisadores da MDSec ActiveBreach acrescentaram que um par de credenciais de banco de dados MSSQL padrão também pode ser usado para obter as credenciais de administrador se o servidor de destino já estiver corrigido contra CVE-2023-26258 e usar uma configuração padrão.
A empresa também compartilhou explorações e ferramentas de prova de conceito que podem ser usadas para verificar instâncias do Arcserve UDP com configuração padrão em redes locais, bem como recuperar e descriptografar credenciais explorando o desvio de autenticação na interface de gerenciamento. “Se o invasor estiver posicionado na rede local, as varreduras podem ser realizadas para encontrar instâncias usando configurações padrão usando ArcServeRadar.py”, disse a MDSec.
A empresa alerta que se a versão do ArcServe não foi corrigida (CVE-2023-26258), é possível explorar um desvio de autenticação na interface da web de gerenciamento e recuperar os créditos do administrador (ArcServe-exploit.py). “Todas as senhas recuperadas pelas ferramentas pode ser descriptografado usando ArcServeDecrypter.exe”, afirma.
Segundo a Arcserve, seus produtos de segurança de dados ajudam a proteger os dados de aproximadamente 235 mil clientes em 150 países, inclusive no Brasil.
