Их эксплуатация позволяет удаленно скомпрометировать целевые серверы и подключенные сетевые устройства.
Исследователь Мухаммед Аскар (Mohammad Askar) из компании Shell Systems опубликовал в Сети подробности и PoC-коды для двух уязвимостей удаленного выполнения кода в утилите rConfig. Их эксплуатация позволяет неавторизованному злоумышленнику удаленно скомпрометировать целевые серверы и подключенные сетевые устройства.
RConfig представляет собой бесплатную утилиту для управления конфигурацией сетевых устройств с открытым исходным кодом, позволяющую сетевым инженерам настраивать и делать частые снимки конфигурации сетевых устройств. rConfig используется для управления более чем 3,3 млн сетевых устройств, включая коммутаторы, маршрутизаторы, межсетевые экраны, балансировщики нагрузки и WAN-оптимизаторы.
Первая проблема (CVE-2019-16662) затрагивает все версии rConfig до 3.9.2 включительно, а вторая (CVE-2019-16663) — все версии rConfig до 3.6.0. Уязвимости содержатся в файлах ajaxServerSettingsChk.php и search.crud.php и могут быть проэксплуатированы удаленно неавторизованным злоумышленником.
В обоих случаях для эксплуатации уязвимости злоумышленнику необходимо получить доступ к уязвимым файлам с помощью специально сформированного параметра GET, предназначенного для выполнения вредоносных команд ОС на целевом сервере. Злоумышленник может получить доступ к командной строке на сервере жертвы и выполнить любую произвольную команду на скомпрометированном сервере с привилегиями web-приложения.
Пользователям rConfig рекомендуется временно удалить приложение с сервера или использовать альтернативные решения до появления исправлений.
Собираем и анализируем опыт профессионалов ИБ