🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Sumário executivo
- CloudSEKA equipe de pesquisa de ameaças ao cliente da Customer Threat descobriu vários ativos na Internet que ainda estão vulneráveis ao CVE-2017-7269, uma vulnerabilidade de execução remota de código (RCE) que afeta o IIS v6.0 (2003 R2).
- Essa é uma vulnerabilidade de estouro de buffer presente no serviço WebDAV do IIS v6.0 e pode ser explorada se o cabeçalho PROPFIND estiver ativado.
- Essa vulnerabilidade costuma ser chamada de Immortal CVE, pois o problema é destacado em um produto que já está em seu estágio de fim de vida útil (EOL). Portanto, a Microsoft nunca publicou um patch oficial.
Análise
- A principal plataforma digital de monitoramento de risco da CloudSEK XV Vigília executa verificações rotineiras de configuração incorreta de aplicativos como parte da funcionalidade de monitoramento da infraestrutura.
- Durante uma dessas verificações, descobrimos que existem vários ativos que ainda estão vulneráveis a uma falha antiga, chamada de ExplodingCan.
Sobre a vulnerabilidade ExplodingCan
- Descoberta em 2017, essa vulnerabilidade crítica permite que um invasor execute código arbitrário em sistemas vulneráveis, com privilégios de usuário, explorando um bug no Web Distributed Authoring and Versioning (WebDAV).
- O WebDAV é um conjunto de extensões do Hypertext Transfer Protocol (HTTP), que permite que agentes de usuário criem conteúdo em conjunto diretamente em um servidor web HTTP, facilitando o controle de simultaneidade e as operações de namespace. Isso permite que a Web seja vista como um meio colaborativo e gravável e não apenas como um meio somente de leitura.
- Uma vez estabelecido isso, o cabeçalho PROPFIND é habilitado no alvo e a vulnerabilidade do ExplodingCan pode ser confirmada. Isso pode ser feito com a ajuda do seguinte comando cURL.
- Se o comando retornar o código de resposta HTTP 411, o sistema de destino é considerado vulnerável (conforme mostrado na imagem acima).
- Por outro lado, se o comando retornar os códigos de resposta HTTP 401, 503 ou 403, isso indicaria que o alvo não está vulnerável.
Informações da OSINT
- O malware WannaCry tinha várias vulnerabilidades de 0 dias em seu arsenal, tornando-se uma das campanhas de malware mais desastrosas já registradas. ExplodingCan, CVE-2017-7269, foi um deles.
- Essa vulnerabilidade também era conhecida por ter sido explorada por agentes de ameaças chineses para minerar a criptomoeda Electroneum.
- Com base no mecanismo de busca Shodan, há mais de um milhão de servidores que ainda são potencialmente vulneráveis ao CVE-2017-7269. No entanto, é difícil determinar o número exato, pois o servidor também deve ter o serviço WebDAV e o cabeçalho de solicitação PROPFIND habilitados.
- Essa vulnerabilidade tem sido constantemente aproveitada em ataques de malware e ransomware.
- Os agentes de ameaças podem aproveitar essa vulnerabilidade para obter uma posição inicial nos sistemas de destino. Em seguida, o malware instala o código malicioso, assume o controle do servidor e até permite o aumento de privilégios.
- A disponibilidade de vários códigos de exploração gratuitos em várias plataformas de código aberto, como GitHub, facilita a exploração dessa vulnerabilidade.
