Progress Software heeft klanten gewaarschuwd om een kritieke beveiligingsfout voor externe code-uitvoering in de Telerik Report Server te patchen, die kan worden gebruikt om kwetsbare apparaten te compromitteren.

Als een servergebaseerd rapportageplatform biedt Telerik Report Server gecentraliseerde opslag voor rapporten en de tools die nodig zijn om deze te maken, implementeren, leveren en beheren binnen een organisatie.

Bekend onder CVE-2024-6327, wordt de kwetsbaarheid veroorzaakt door een zwakte in het deserialiseren van onbetrouwbare gegevens die aanvallers kunnen misbruiken om externe code-uitvoering op niet-gepatchte servers te verkrijgen.

De kwetsbaarheid heeft invloed op Report Server 2024 Q2 (10.1.24.514) en eerdere versies en werd gepatcht in versie 2024 Q2 (10.1.24.709).

“Updaten naar Report Server 2024 Q2 (10.1.24.709) of later is de enige manier om deze kwetsbaarheid te verwijderen,” waarschuwde de bedrijfssoftwaremaker in een advies op woensdag. “Het Progress Telerik-team raadt sterk aan een upgrade naar de nieuwste versie uit te voeren.”

Beheerders kunnen controleren of hun servers kwetsbaar zijn voor aanvallen door de volgende stappen te volgen:

1. Ga naar je Report Server-webinterface en log in met een account met beheerdersrechten.
2. Open de Configuratiepagina (~/Configuration/Index).
3. Selecteer het tabblad Over en het versienummer wordt weergegeven in het paneel aan de rechterkant.

Progress biedt ook tijdelijke mitigatiemaatregelen voor degenen die hun apparaten niet onmiddellijk kunnen upgraden naar de nieuwste release.

Dit vereist het wijzigen van de Report Server Application Pool-gebruiker in een met beperkte rechten. Degenen die nog geen procedure hebben voor het maken van IIS-gebruikers en het toewijzen van App Pool, kunnen de informatie volgen in dit ondersteuningsdocument van Progress.

Oudere Telerik-kwetsbaarheden onder aanval

Hoewel Progress nog niet heeft gedeeld of CVE-2024-6327 in het wild is uitgebuit, zijn andere Telerik-kwetsbaarheden in de afgelopen jaren aangevallen.

In 2022 bijvoorbeeld werd de Microsoft Internet Information Services (IIS) webserver van een Amerikaanse federale instantie gehackt door misbruik te maken van de CVE-2019-18935 kritieke Progress Telerik UI-kwetsbaarheid, die is opgenomen in de lijst van meest gerichte kwetsbaarheden van de FBI en de top 25 lijst van de NSA met beveiligingsfouten die door Chinese hackers worden misbruikt.

Volgens een gezamenlijk advies van CISA, de FBI en MS-ISAC hebben minstens twee dreigingsgroepen (waarvan een de Vietnamese XE Group) de kwetsbare server gecompromitteerd.

Tijdens de inbraak hebben ze meerdere malware-payloads ingezet, informatie verzameld en geëxfiltreerd, terwijl ze toegang tot het gecompromitteerde netwerk bleven behouden tussen november 2022 en begin januari 2023.

Meer recent ontwikkelden en publiceerden beveiligingsonderzoekers een proof-of-concept (PoC) exploit gericht op externe code-uitvoering op Telerik Report-servers door een kritieke authenticatieomzeiling (CVE-2024-4358) en een ernstige RCE (CVE-2024-1800) te combineren.