CVE-2024-1403: новый громкий прокол в программном обеспечении Progress Software

В сфере информационной безопасности обнаружена критическая уязвимость, затрагивающая продукты компании Progress Software, в частности, OpenEdge Authentication Gateway и AdminServer. Эта уязвимость представляет собой серьёзную угрозу для аутентификационных механизмов, что может позволить злоумышленникам обойти защитные меры и получить несанкционированный доступ к системам.

Проблема, получившая идентификатор CVE-2024-1403, характеризуется максимальным уровнем опасности с оценкой в 10 баллов по шкале CVSS. Уязвимость касается версий OpenEdge до 11.7.18 включительно, 12.2.13 и более ранних, а также 12.8.0.

Суть проблемы заключается в недостатках механизма аутентификации, когда OpenEdge Authentication Gateway (OEAG) настроен с использованием локальной системы аутентификации операционной системы для проверки подлинности пользователей. Аналогичная проблема возникает и при подключении к AdminServer через OpenEdge Explorer и OpenEdge Management, где также используется локальная аутентификация.

По словам представителей Progress Software, проблема проявляется, когда система некорректно интерпретирует неожиданные типы имён пользователей и паролей, что приводит к авторизации без должной проверки учётных данных. Таким образом, злоумышленники могут обойти процедуру аутентификации, получив доступ к защищённым ресурсам.

Компания уже предприняла меры по устранению уязвимости, выпустив обновления OpenEdge LTS Update 11.7.19, 12.2.14 и 12.8.1. Пользователям настоятельно рекомендуется установить эти обновления для защиты своих систем от потенциальных атак.

Исследовательская группа Horizon3.ai внесла свой вклад в изучение уязвимости, реализовав и опубликовав PoC-эксплойт. Специалисты группы выявили, что корень проблемы связан с функцией «connect()», активируемой при удалённом подключении. Эта функция вызывает другую функцию, «authorizeUser()», задача которой — проверить соответствие предоставленных данных заданным критериям. Однако, если имя пользователя совпадает с «NT AUTHORITY\SYSTEM», происходит непосредственная авторизация, минуя необходимые проверки.

Кроме того, исследователи указывают на потенциал дальнейших атак, таких как развёртывание новых приложений через удалённые ссылки на файлы WAR.

Ранее компания Progress Software уже становилась фигурантом крупного скандала в IT-индустрии, когда MFT-клиент MoveIT Transfer её дочерней компании Ipswitch был взломан хакерами Clop, что привело к компрометации сотен компаний в различных сферах и суммарным финансовым потерям на миллиарды долларов.

Обнаружение CVE-2024-1403 и прошлые громкие атаки на программное обеспечение Progress Software — подчёркивают важность своевременного обновления программного обеспечения и необходимость бдительности в области кибербезопасности. Компаниям и простым пользователям следует принять все необходимые меры предосторожности, чтобы защитить свои системы от потенциальных угроз и обеспечить безопасность данных.