Security Advisory: MicroFocus Filr Appliance 3.0 build 4670 (Exposed LDAP Credential)

L’Offensive Security Team di Swascan ha identificato una vulnerabilità di tipo Information Disclosure negli asset digitali di MicroFocus Filr Appliance 3.0 – build 4670.

La vulnerabilità è stata identificata durante un’attività di Penetration Test su un cliente che espone l’applicazione Filr; avendo a disposizione le credenziali di amministratore è possibile visualizzare la password di configurazione LDAP in chiaro.  

La patch, rilasciata il 19 maggio 2023, è disponibile. Si consiglia di aggiornare il dispositivo con la versione più recente. 

Micro Focus (OpenText)

Micro Focus è un’azienda globale di software e servizi IT che fornisce soluzioni per applicazioni aziendali, gestione IT ibrida, sicurezza, gestione del rischio e analisi. Con un portfolio diversificato di prodotti software e servizi di consulenza, Micro Focus assiste le organizzazioni nella modernizzazione dei loro sistemi IT e nell’ottimizzazione dei processi aziendali. L’azienda serve diversi settori e ha una presenza globale, aiutando le aziende di tutto il mondo con le loro esigenze di software e tecnologia.

Descrizione del Prodotto 

Filr è un prodotto Micro Focus (OpenText) che offre accesso e condivisione dei file da qualsiasi dispositivo.  

Sintesi Tecnica 

L’Offensive Security Team di Swascan ha rilevato un’importante vulnerabilità su: MicroFocus Filr Appliance 3.0 build 4670 

Vulnerability CVSSv3.1 Base ScoreCVSSv3.1 Base Vector
LDAP Credential Disclosure 7.2 High AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 

Nella sezione seguente vengono illustrati i dettagli tecnici di questa vulnerabilità, comprese le evidenze ed una Proof-Of-Concept. 

Exposed LDAP Credential

Descrizione 

L’applicazione web espone in chiaro, ad un utente con privilegi elevati, le credenziali di amministratore per la sincronizzazione degli utenti presenti in Active Directory tramite LDAP.  

Un potenziale attaccante, disponendo di queste credenziali, potrebbe tentare di accedere al domain controller con i massimi privilegi e condurre attacchi successivi quali: l’esfiltrazione di dati sensibili e la distribuzione di ransomware con conseguente richiesta di riscatto. 

Proof of Concept 

Dopo aver effettuato il login con le credenziali di amministrazione, è possibile accedere alla console e visualizzare la configurazione della web app, compresa la configurazione LDAP, come mostrato di seguito: 

Evidenza 1 Pagina della console amministrativa 

Evidenza 2 Pagina di configurazione LDAP. 

Come si può vedere, la password viene offuscata ma intercettando le richieste, compresa la richiesta POST al componente gwtTeaming.rpc, è possibile visualizzare le credenziali in chiaro, come mostrato di seguito: 

Evidenza 3 Inviare una richiesta HTTP al componente gwtTeaming.rpc 

Evidenza 4 Risposta HTTP con password in chiaro.

Remediation 

La patch, rilasciata il 19 maggio 2023, è disponibile. Si consiglia di aggiornare il dispositivo con la versione più recente. 

Disclosure Timeline 

– 30/01/2023:  Scoperta della vulnerabilità  

– 01/03/2023:  Il vendor è stato contattato via e-mail 

– 07/03/2023:  Il vendor ha segnalato la vulnerabilità al team interno 

– 19/04/2023:  Il vendor ha confermato che la gestione della vulnerabilità è stata avviata 

– 19/05/2023:  Il vendor rilascia le correzioni 

– 28/06/2023: Pubblicazione Security Advisory

– 06/12/2023: CVE assegnata CVE-2023-32268 

Fonti e riferimenti 

Considerazioni finali 

Swascan ringrazia MicroFocus per la loro collaborazione nella gestione del disclosure, per il loro impegno nel garantire la massima resilienza di prodotti e soluzioni e per grande professionalità dimostrata durante tutte le fasi del processo.

Security Advisory: Team System - Alyante Enterprise SP6 (build 5660); SQL Injection (CVE-2023-36341) + Open Redirection (CVE-2023-36342)
Scoprire l'invisibile: Tecniche di Threat Hunting!

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.