Calero VeraSMART w wersjach wcześniejszych niż 2022 R1 udostępnia nieuwierzytelnioną usługę .NET Remoting HTTP na porcie TCP 8001, umożliwiając zdalnemu atakującemu odczyt i zapis dowolnych plików, a następnie wykonanie kodu w kontekście aplikacji IIS. Podatność otrzymała maksymalną ocenę CVSS 10.0, co oznacza pełne ryzyko kompromitacji systemu bez konieczności posiadania jakichkolwiek danych uwierzytelniających.
▸ Pokaż oryginał (EN)
Calero VeraSMART versions prior to 2022 R1 expose an unauthenticated .NET Remoting HTTP service on TCP port 8001. The service publishes default ObjectURIs (including EndeavorServer.rem and RemoteFileReceiver.rem) and permits the use of SOAP and binary formatters with TypeFilterLevel set to Full. An unauthenticated remote attacker can invoke the exposed remoting endpoints to perform arbitrary file read and write operations via the WebClient class. This allows retrieval of sensitive files such as WebRoot\\web.config, which may disclose IIS machineKey validation and decryption keys. An attacker can use these keys to generate a malicious ASP.NET ViewState payload and achieve remote code execution within the IIS application context. Additionally, supplying a UNC path can trigger outbound SMB authentication from the service account, potentially exposing NTLMv2 hashes for relay or offline cracking.
Usługa .NET Remoting publikuje domyślne ObjectURI (m.in. EndeavorServer.rem i RemoteFileReceiver.rem) z parametrem TypeFilterLevel ustawionym na Full, co pozwala na deserializację danych przy użyciu formaterów SOAP i binarnych bez żadnego uwierzytelnienia. Atakujący może wywołać eksponowane endpointy i za pomocą klasy WebClient odczytać pliki serwera, w tym WebRoot\web.config zawierający klucze walidacji i deszyfrowania IIS machineKey. Znając te klucze, może wygenerować złośliwy payload ASP.NET ViewState i uzyskać RCE w kontekście aplikacji IIS. Dodatkowo, podanie ścieżki UNC wymusza od konta usługi wychodzące uwierzytelnienie SMB, co naraża skrót NTLMv2 na przechwycenie i przekazanie (relay) lub łamanie offline.
Nieuwierzytelniony zdalny atakujący może uzyskać pełne wykonanie dowolnego kodu (RCE) w kontekście aplikacji IIS, odczytać i zapisać dowolne pliki na serwerze oraz przechwycić skróty NTLMv2 konta usługi w celu dalszego ruchu bocznego (lateral movement) w sieci.
Należy zaktualizować Calero VeraSMART do wersji 2022 R1 lub nowszej. Do czasu wdrożenia patcha zaleca się zablokowanie dostępu do portu TCP 8001 na firewall dla nieautoryzowanych źródeł oraz ograniczenie ruchu wychodzącego SMB z serwera usługi w celu zmniejszenia ryzyka przechwycenia skrótów NTLMv2.
Calero VeraSMART w wersjach wcześniejszych niż 2022 R1
Szczegółowy opis techniczny podatności dostępny jest w rejestrze VulnCheck: https://www.vulncheck.com/advisories/calero-verasmart-2022-r1-net-remoting-arbitrary-file-read-leading-to-viewstate-rce
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XCalero Verasmart
APPCalero2022.0< 2022.0