W aplikacji BMC Control-M/Managed File Transfer (wersje 9.0.20–9.0.22) odkryto zestaw domyślnych danych logowania do interfejsu debugowania zakodowanych jawnym tekstem bezpośrednio w pakiecie aplikacji. Podatność pozwala nieuwierzytelnionemu atakującemu uzyskać nieautoryzowany dostęp do API debug interfejsu MFT.
▸ Pokaż oryginał (EN)
An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. A set of default debug user credentials is hardcoded in cleartext within the application package. If left unchanged, these credentials can be easily obtained and may allow unauthorized access to the MFT API debug interface.
Dane uwierzytelniające do konta debugowego są przechowywane w postaci jawnego tekstu (cleartext) bezpośrednio w plikach pakietu aplikacji — jest to przypadek CWE-798 (hardcoded credentials). Atakujący może odczytać te dane analizując zawartość pakietu instalacyjnego lub pliki aplikacji bez konieczności posiadania uprawnień ani przeprowadzania zaawansowanych działań. Jeśli dane nie zostały zmienione przez administratora, mogą być użyte do zalogowania się do interfejsu debug API aplikacji MFT przez sieć, bez żadnej dodatkowej autoryzacji.
Atakujący uzyskuje nieautoryzowany dostęp do interfejsu debug API BMC Control-M/MFT, co — przy ocenie CVSS na poziomie 9.8 (C:H/I:H/A:H) — może prowadzić do pełnego naruszenia poufności, integralności i dostępności przetwarzanych plików oraz konfiguracji systemu.
Należy zastosować patch Control-M MFT PAAFP-9-0-22-025 dostępny dla wersji 9.0.22 zgodnie z dokumentacją producenta pod adresem wskazanym w referencjach. Dodatkowo należy niezwłocznie zmienić lub wyłączyć domyślne dane logowania do interfejsu debug, a dostęp do API debug interfejsu MFT ograniczyć na poziomie firewalla wyłącznie do zaufanych adresów administracyjnych.
BMC Control-M/Managed File Transfer w wersjach 9.0.20 oraz 9.0.21 i 9.0.22 (zakres 9.0.20 do 9.0.22)
Patch jest identyfikowany jako PAAFP-9-0-22-025 i dotyczy wersji 9.0.22 — zgodnie z referencją producenta (docs.bmc.com). Podatność wymaga jedynie dostępu sieciowego do interfejsu API i nie wymaga żadnej interakcji użytkownika ani posiadania uprzednich uprawnień (PR:N/UI:N), co znacząco ułatwia jej eksploatację.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HBmc Control M\/managed File Transfer
APPBmc9.0.20 – 9.0.22
Powiązane podatności
An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. A SQL injection vulnerability in the MFT A...
An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. An API management endpoint allows unauthen...
BMC Control-M/Agent: Bypass ACL przez NULL byte w certyfikacie klienta
BMC Control-M/Agent: Authentication Bypass przez niezabezpieczony keystore
Path traversal w BMC Control-M/Agent prowadzący do privilege escalation