Una investigación realizada recientemente, revelo seis vulnerabilidades en los dispositivos Dell EMC RecoverPoint. Una de las fallas encontradas permite a los atacantes ejecutar código remoto no autenticado con privilegios de administrador.
Un equipo de expertos en seguridad informatica explica en una publicación, que si un atacante sin conocimiento de ninguna credencial tiene visibilidad de RecoverPoint en la red o acceso local a ella, puede obtener control sobre RecoverPoint y su sistema operativo Linux subyacente.
Las vulnerabilidades encontradas, afectan todas las versiones de Dell EMC RecoverPoint anteriores a 5.1.2 y RecoverPoint para máquinas virtuales anteriores a 5.1.1.3.
La vulnerabilidad mas critica, es CVE-2018-1235, CVSS 9.8, que permite que un atacante con visibilidad de un dispositivo RecoverPoint en la red obtenga control sobre el sistema operativo Linux subyacente.
Los investigadores de Foregenix comentaron que durante un contrato con un cliente no identificado, una vez que los investigadores tuvieron el control de los dispositivos RecoverPoint, fue posible explotar las vulnerabilidades de otro día cero descubiertas para pivotar y obtener el control de la red de Directorio Activo de Microsoft con la que se integraron los RecoverPoints.
Po otro lado, la vulnerabilidad CVE-2018-1242, le dio a un atacante con acceso al menú administrativo de boxmgmt la posibilidad de leer archivos del sistema de archivos a los que solo puede acceder el usuario de boxmgmt.
Una tercera vulnerabilidad, mostro que RecoverPoint pierde las credenciales de texto claro en un archivo de registro, comentaron los profesionales en seguridad informatica.
Dell EMC emitió CVE para tres de las vulnerabilidades y las incluyó en su aviso DSA-2018-095 del 21 de mayo.
Pero también los otros tres errores permanecen sin parche hasta ahora. Estas vulnerabilidades no tienen CVEs emitidos. Se encontró en uno de estos errores, que RecoverPoint se envió con un hash de contraseña del sistema almacenado en un archivo legible para cualquiera. En un segundo error, se descubrió que RecoverPoint usa una contraseña de root codificada que solo se puede cambiar poniéndose en contacto con el proveedor. En cuanto a la tercera vulnerabilidad, es una opción de configuración insegura que permite que las credenciales LDAP enviadas por RecoverPoint sean interceptadas por los atacantes.
En cuanto a esta última vulnerabilidad, los profesionales en seguridad informatica, recomiendan a los clientes de RecoverPoint que se aseguren de que si se requiere integración LDAP, está configurado para vincularse de forma segura.
El especialista en seguridad de Performanta, Nicholas Griffin, comento que los atacantes podrían hacer uso de estas vulnerabilidades para robar las copias de seguridad de datos, utilizando dispositivos RecoverPoint vulnerables.
“La visibilidad de las credenciales LDAP podría permitir a un actor malicioso obtener acceso a otros recursos clave en la red, o incluso comprometer el dominio de Active Directory”, comento el experto en seguridad informatica.
Para la defensa de los ataques a sistemas internos; las organizaciones deben entender primero la huella de acceso al sistema.
El analista de Bitdefender, Liviu Arsene, dijo que prevenir estos ataques es una cuestión de defensa de seguridad por toda la organización, que es capaz de defender no solo puntos finales, sino también activar una advertencia de seguridad indicativo de posibles infracciones de seguridad.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
