Parallels Remote Application Server (RAS) przed wersją 19.2.23975 nie izoluje wirtualizowanych aplikacji od systemu serwerowego, umożliwiając zdalnemu atakującemu wykonanie dowolnego kodu. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie krytyczną.
▸ Pokaż oryginał (EN)
The Remote Application Server in Parallels RAS before 19.2.23975 does not segment virtualized applications from the server, which allows a remote attacker to achieve remote code execution via standard kiosk breakout techniques.
Błąd polega na braku odpowiedniej segmentacji (izolacji) wirtualizowanych aplikacji od środowiska serwera hosta. Atakujący bez żadnego uwierzytelnienia, działając zdalnie przez sieć, może zastosować techniki określane jako kiosk breakout — czyli metody ucieczkowe znane z ograniczonych środowisk kiosk/terminal — aby wydostać się z kontekstu wirtualizowanej aplikacji i uzyskać dostęp do systemu bazowego. W rezultacie możliwe jest wykonanie dowolnych poleceń na serwerze (RCE).
Atakujący może przejąć pełną kontrolę nad serwerem, uzyskując możliwość odczytu i modyfikacji danych, instalacji złośliwego oprogramowania oraz dalszego rozprzestrzeniania się w infrastrukturze organizacji (lateral movement).
Należy niezwłocznie zaktualizować Parallels Remote Application Server do wersji 19.2.23975 lub nowszej. Szczegóły dostępne w referencjach producenta oraz w raporcie badaczy pod adresem wskazanym w sekcji referencji CVE.
Parallels Remote Application Server (RAS) we wszystkich wersjach przed 19.2.23975
Podatność została opublikowana przez badaczy z repozytorium Oracle-Security na GitHub. Pomimo braku wpisu w CISA KEV, maksymalny wynik CVSS 10.0 oraz publiczne ujawnienie techniki ataku (kiosk breakout) w repozytorium GitHub znacząco zwiększają ryzyko eksploatacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HParallels Remote Application Server
APPParallels< 19.2.23975
Powiązane podatności
Parallels Remote Application Server (RAS) 17.1.1 has a Business Logic Error causing remote code execution. It ...
Parallels Desktop Technical Data Reporter Link Following Local Privilege Escalation Vulnerability. This vulne...
The Web Client of Parallels Remote Application Server v18.0 is vulnerable to Host Header Injection attacks. Th...
Parallels Remote Application Server (RAS) allows a local attacker to retrieve certain profile password in clea...
In the web interface of Parallels Remote Application Server (RAS) 15.5 Build 16140, a vulnerability exists due...