Calero VeraSMART w wersjach wcześniejszych niż 2022 R1 używa statycznych wartości ASP.NET/IIS machineKey, przechowywanych w pliku konfiguracyjnym web.config. Atakujący, który pozyska te klucze, może wykonać dowolny kod na serwerze bez żadnego uwierzytelnienia.
▸ Pokaż oryginał (EN)
Calero VeraSMART versions prior to 2022 R1 use static ASP.NET/IIS machineKey values configured for the VeraSMART web application and stored in C:\\Program Files (x86)\\Veramark\\VeraSMART\\WebRoot\\web.config. An attacker who obtains these keys can craft a valid ASP.NET ViewState payload that passes integrity validation and is accepted by the application, resulting in server-side deserialization and remote code execution in the context of the IIS application.
Aplikacja VeraSMART przechowuje statyczne, niezmienne wartości machineKey w pliku C:\Program Files (x86)\Veramark\VeraSMART\WebRoot\web.config. Klucze te służą do podpisywania i weryfikacji integralności obiektów ASP.NET ViewState. Znając te wartości, atakujący może spreparować złośliwy payload ViewState, który przejdzie weryfikację integralności po stronie serwera. Przekazanie takiego payloadu do aplikacji skutkuje deserializacją po stronie serwera i wykonaniem kodu w kontekście procesu IIS (RCE).
Atakujący zdalny, nieuwierzytelniony może uzyskać pełne wykonanie kodu (RCE) w kontekście konta usługi IIS, co w praktyce oznacza możliwość przejęcia kontroli nad serwerem aplikacji, kradzieży danych oraz dalszego ruchu w sieci (lateral movement).
Należy zaktualizować Calero VeraSMART do wersji 2022 R1 lub nowszej. Jeśli natychmiastowa aktualizacja nie jest możliwa, należy ograniczyć dostęp sieciowy do interfejsu webowego aplikacji oraz zabezpieczyć dostęp do pliku web.config, aby zapobiec ujawnieniu wartości machineKey. Szczegółowe informacje dostępne są w referencjach producenta.
Calero VeraSMART w wersjach wcześniejszych niż 2022 R1
Wartości machineKey przechowywane są w pliku C:\Program Files (x86)\Veramark\VeraSMART\WebRoot\web.config. CWE-321 (Use of Hard-coded Cryptographic Key) potwierdza, że podatność wynika ze stosowania stałych kluczy kryptograficznych zakodowanych na stałe w konfiguracji aplikacji.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XCalero Verasmart
APPCalero2022.0< 2022.0