Urządzenia Quantum DXi6702 w wersji 2.3.0.3 są podatne na atak XML External Entity Injection (XXE) poprzez endpoint REST służący do uwierzytelniania. Podatność posiada krytyczny poziom CVSS 9.8 i umożliwia zdalne wykorzystanie bez jakiejkolwiek autoryzacji.
▸ Pokaż oryginał (EN)
XML External Entity Injection vulnerability in Quantum DXi6702 2.3.0.3 (11449-53631 Build304) devices via rest/Users?action=authenticate.
Atakujący wysyła spreparowane żądanie HTTP do endpointu rest/Users?action=authenticate zawierające złośliwy dokument XML z odwołaniem do zewnętrznej encji (External Entity). Podatny parser XML przetwarza tę encję bez odpowiednich ograniczeń (CWE-776 — brak ochrony przed rekurencyjnymi odwołaniami do encji), co pozwala atakującemu na kontrolę nad procesem parsowania. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika i jest możliwy zdalnie przez sieć.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych (np. plików lokalnego systemu plików urządzenia), a w zależności od konfiguracji środowiska — naruszyć integralność danych lub doprowadzić do niedostępności usługi. Pełny zakres skutków obejmuje naruszenie poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się ograniczenie dostępu sieciowego do interfejsu REST urządzenia wyłącznie do zaufanych hostów za pomocą firewall lub reguł sieciowych do czasu wdrożenia aktualizacji.
Urządzenia Quantum DXi6702 w wersji oprogramowania 2.3.0.3 (build 11449-53631 Build304)
Szczegółowe informacje techniczne oraz proof-of-concept zostały opublikowane przez firmę Atredis Partners w ramach publicznego advisory ATREDIS-2019-0004 dostępnego w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H