Последната консултация по сигурността на Progress Software предупреждава клиентите за втората критична уязвимост, насочена към сървъра Telerik Report Server в рамките на няколко месеца.
CVE-2024-6327 е несигурна уязвимост при десериализация (CWE-502) с оценка 9,9 по CVSS. Успешните експлойти могат да доведат до отдалечено изпълнение на код (RCE) на сървъри с всички версии преди 10.1.24.709.
Това са видове грешки, които в идеалния свят би трябвало да бъдат отстранени двойно по-бързо, но трябва да обърнете специално внимание на тази, по-специално поради историята на атакуващите с този вид уязвимости в този пакет продукти.
Някои от вас може би си спомнят CVE-2019-18935, друга уязвимост при десериализация на ненадеждни данни, засягаща Telerik UI за ASP.NET AJAX. Тя беше използвана от множество нападатели, включително от неуточнена група за напреднали постоянни заплахи (APT), за да атакува успешно федералните агенции на САЩ през 2023 г., въпреки че беше добавена в каталога на CISA за известни експлоатирани уязвимости (KEV) през 2021 г.
В консултация по сигурността CISA заяви, че скенерът за уязвимости на агенцията е разполагал с приставката за откриване на CVE-2019-18935, но не е уловил експлойта, защото Telerik UI е бил инсталиран в нетипичен файлов път – реалност, която според нея вероятно е еднаква за много потребители.
Въпреки че APT не беше уточнена, CVE-2019-18935 е известен фаворит на китайските нападатели. По-голямата част от злонамереното поведение е включвало разузнаване и сканиране, заяви CISA.
Разкриването на уязвимостта я прави втората грешка с почти максимална тежест в Telerik Report Server в рамките на толкова много месеци. В края на май беше открита и CVE-2024-4358 с оценка 9.8 – грешка за заобикаляне на удостоверяването, която позволява на нападателите да се направят на потребители администратори.
Sina Kheirkhah, изследовател по сигурността в Summoning Team, откри дефекта и демонстрира как той може да бъде верижно свързан с още един десериализация на ненадеждни данни (CVE-2024-1800) в Telerik Report Server от април, за да се постигне пълен RCE.
Двойна неприятност
Progress разкри и втора уязвимост, CVE-2024-6096, засягаща Telerik Reporting – нейния инструмент за вградени отчети в .NET.
С оценка 8,8 по CVSS тя не е съвсем в критичната категория, но определено е достатъчно сериозна, за да искате да направите нещо по въпроса.
Това е несигурна уязвимост в разрешаването на типовете, която може да доведе до RCE чрез атака за инжектиране на обект, ако бъде използвана.
Засегнати са всички версии 18.1.24.514 и по-стари, а обновяването до 18.1.24.709 е единственият начин за отстраняване на уязвимостта – няма налични смекчаващи мерки, казват от Progress.
