Progress Telerik 中存在严重的认证绕过漏洞

Telerik Report Server 是一个受 API 驱动的端对端加密报告管理解决方案，供组织机构梳理报告的创建、分享、存储、发行和调度。网络安全研究员 Sina Kheirkha 在 Soroush Dalili的帮助下开发出exp 并发布技术详情，说明了如何组合利用该认证绕过和反序列化漏洞在目标上执行代码的复杂过程。

CVE-2024-4358可被用于在无需检查的情况下创建管理员账号。Kheirkhah 表示自己在 Progress 在4月25日发布需要“低权限”用户利用的一个反序列化漏洞后发现了该认证绕过漏洞。

他进一步分析后发现 “StartupController”中的“Register”方法可在无需认证的情况下访问，从而在初始设置完成之后还可创建管理员账号。之后厂商在5月15日通过更新（Telerik Report Server 2024 Q2 10.1.24.514）修复了该漏洞，之后在5月31日与ZDI团队发布了安全通告。

实现RCE所需的第二个漏洞是CVE-2024-1800（CVSS 8.8），它是一个反序列化漏洞，可使远程认证攻击者在易受攻击服务器上执行任意代码。该漏洞在早些时候由一名匿名研究员报送，而Progress 在2024年3月7日通过 Telerik® Report Server 2024 Q1 10.0.24.305发布了安.全更新。

攻击者可向 Telerik Report Server 的自定义反序列化器发送具有 “ResourceDictionary” 元素的特殊构造的XML payload。该反序列化器通过复杂机制将XML元素解析到 .NET 类型。该特殊元素之后利用 “ObjectDataProvider”类在服务器上执行任意命令。尽管该反序列化漏洞的利用较为复杂，但由于PoC和利用脚本已发布，因此攻击者可较轻松实施。

因此，组织机构必须尽快应用更新，即更新到10.1.24.514或后续版本，修复这两个漏洞。

Progress 还建议，尽管并未有CVE-2024-4358遭利用的报告，但系统管理员应当查看 Report Server的用户列表中是否存在无法识别的任何新增Local 用户被添加到 '{host}/Users/Index'。

Progress Software 中的严重漏洞一般都不会被高级别网络犯罪分子忽略，因为该厂商的产品应用于全球大量组织机构中。例如，Clop 勒索团伙在2023年3月利用 MOVEit Transfer 平台中的一个0day，成为历史上规模最大的勒索事件，受害者超过2770名且间接影响全球9600名人员。