Krytyczna podatność klasy RCE w serwerowej aplikacji Netwrix CoSoSys Endpoint Protector (do wersji 5.9.3) oraz CoSoSys Unify (do wersji 7.0.6) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń systemowych. Zagrożenie jest szczególnie poważne, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Netwrix CoSoSys Endpoint Protector through 5.9.3 and CoSoSys Unify through 7.0.6 contain a remote code execution vulnerability in the logging component of the Endpoint Protector and Unify server application which allows an unauthenticated remote attacker to send a malicious request, resulting in the ability to execute system commands with root privileges.
Podatność tkwi w komponencie logowania serwera aplikacji Endpoint Protector i Unify. Nieuwierzytelniony atakujący zdalnie wysyła odpowiednio spreparowane żądanie do podatnego serwera. Komponent logowania przetwarza je w sposób niezabezpieczony, co skutkuje wykonaniem dowolnych poleceń systemowych. Polecenia te uruchamiane są z uprawnieniami root, czyli z najwyższymi możliwymi uprawnieniami w systemie.
Atakujący uzyskuje pełną kontrolę nad serwerem z uprawnieniami root, co umożliwia odczyt, modyfikację i usunięcie danych, instalację złośliwego oprogramowania oraz dalszy lateral movement w sieci organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (centrum pomocy Netwrix: kA0Qk0000001E5lKAE). Zaleca się niezwłoczną aktualizację do wersji wyższych niż 5.9.3 (Endpoint Protector) i 7.0.6 (Unify) oraz ograniczenie dostępu sieciowego do serwera aplikacji wyłącznie do zaufanych hostów.
Netwrix CoSoSys Endpoint Protector w wersjach do 5.9.3 włącznie oraz CoSoSys Unify w wersjach do 7.0.6 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H