Kritische Schwachstelle (CVE-2024-1403) in Progress OpenEdge Authentication Gateway/AdminServer – PoC öffentlich

[English]Setzt jemand aus der Leserschaft Progress OpenEdge, entweder als Authentication Gateway oder AdminServer ein? Es gibt eine kritische Schwachstelle (CVE-2024-1403) in diesem Produkt (CVSS 10.0), die die Umgehung der Authentifizierung ermöglicht. Nun ist ein Exploit zur Ausnutzung dieser Schwachstelle bekannt geworden. Daher ist dringend eine Sicherheitsaktualisierung der Produkte angeraten, um diese Schwachstelle zu schließen.

Was ist Progress OpenEdge?

Ich musste selbst im Internet nachschauen – die Progress Software Corp. ist ein US-Unternehmen mit Sitz in Bedford, Massachusetts, welches Applikations-Infrastruktur-Software für die Entwicklung, die Integration und das Management von Geschäftsanwendungen anbietet. Es gib eine deutsche Tochter Progress Software GmbH mit Sitz in Köln. Hier ein Link auf deren Infomaterial-Seite.

Zu den wichtigsten Produkten zählen ein Datenbanksystem und eine in das DBMS integrierte Programmiersprache der vierten Generation. Die aktuelle Produktlinie heißt Progress OpenEdge. Weltweit sollen nach Angaben des Unternehmens 3 Millionen Anwender in 60.000 Unternehmen Software-Anwendungen einsetzen, die auf Progress-Technologie basieren. Der gesamte Umsatz einschließlich Anwendungen und Dienstleistungen des Anbieters betrage über 5 Milliarden US-Dollar, heißt es in der Wikipedia.

In der Wikipedia heißt es, dass Progress durch Firmenzukäufe auch Inhaber der Produkte von Telerik (seit 2014), Ipswitch (Anbieter der Datenübertragungslösungen MOVEit Transfer und MOVEit Cloud), Chef, Kemp (Anbieter eines Load Balancers für HTTP/S, Exchange, S4B, IIS, Apache), Flowmon, MarkLogic und Semaphore wurde. Gerade MOVEit Transfer war ja 2023 für gravierende Schwachstellen mit Datenlücken aufgefallen.

Progress OpenEdge Schwachstelle CVE-2024-1403

In Progress OpenEdge ist zum 27. Februar 2024 die Schwachstelle CVE-2024-1403 öffentlich geworden. Im OpenEdge Authentication Gateway und AdminServer vor 11.7.19, 12.2.14, 12.8.1 wurde auf allen vom OpenEdge-Produkt unterstützten Plattformen eine Sicherheitslücke entdeckt. Die Schwachstelle CVE-2024-1403 ermöglicht die Umgehung der Authentifizierung und hat einen CVSS 3.1-Index von 10.0 erhalten.  Die Schwachstelle zur Umgehung der Authentifizierung beruht auf einem Fehler bei der ordnungsgemäßen Verarbeitung von Benutzername und Passwort. Bestimmte unerwartete Inhalte, die in die Anmeldeinformationen eingegeben werden, können ohne ordnungsgemäße Authentifizierung zu unberechtigtem Zugriff führen.

Progress hat in der Community den Eintrag Important Security Update for OpenEdge Authentication Gateway and AdminServer dazu veröffentlicht und schreibt, dass alle unterstützten OpenEdge-Releases betroffen seien. Das schließt auch OpenEdge LTS Release 11.7.18, OpenEdge LTS Release 12.2.13 und das aktuelle OpenEdge LTS Release 12.8.0 ein.  Allen Kunden, die mit allen OpenEdge-Versionen arbeiten, wird vom Hersteller empfohlen, wenn möglich sofort auf die neueste OpenEdge-Version eines Active Release zu aktualisieren.

• OpenEdge LTS Update 11.7.19
• OpenEdge LTS Update 12.2.14
• OpenEdge LTS Update 12.8.1

Weitere Details finden sich im oben verlinkten Community-Beitrag und eigentlich sollten alle Instanzen seit Ende Februar 2024 gepatcht sein.

Proof of Concept für CVE-2024-1403

Nun ist wohl ein Proof of Concept (PoC) für einen Exploit öffentlich geworden, mit dem sich CVE-2024-1403 ausnutzen lässt. Ich bin über nachfolgenden Post auf das Thema gestoßen.

The Hacker News hat es in diesem Artikel aufgegriffen. Sicherheitsforscher von Horizon3.ai haben den anfälligen AdminServer-Dienst an Hand des Patches auf die Schwachstelle hin analysiert. Laut  Horizon3.ai besteht die CVE-2024-1403 in einer Funktion namens connect(), die aufgerufen wird, wenn eine Remote-Verbindung hergestellt wird.

Diese Funktion ruft wiederum eine andere Funktion namens authorizeUser() auf, die überprüft, ob die angegebenen Anmeldeinformationen bestimmte Kriterien erfüllen, und übergibt die Kontrolle an einen anderen Teil des Codes, der den Benutzer direkt authentifiziert, wenn der angegebene Benutzername mit "NT AUTHORITY\SYSTEM" übereinstimmt.

Auf Grund dieser Kenntnisse konnten die Sicherheitsforscher von Horizon3.ai einen Exploit zum Ausnutzen der Schwachstelle entwickeln. Sicherheitsforscher Zach Hanley schreibt dazu: "Es sieht so aus, als könnte ein Benutzer neue Anwendungen über Remote-WAR-Dateireferenzen bereitstellen. Aber die Komplexität hat sich aufgrund der Verwendung von internen Service Message Brokern und benutzerdefinierten Nachrichten drastisch erhöht, um diese Angriffsfläche zu erreichen. Wir glauben aber, dass es wieder einen Weg zur Remote-Code-Ausführung über eingebaute Funktionen gibt, wenn genügend Forschungsaufwand betrieben wird." Es bleibt also nur, die betreffenden Produkte zu patchen.

Ähnliche Artikel:
MOVEit Transfer: Neue Schwachstelle; dringend patchen!
Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle
MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?
Datenleck bei Postbank und Deutscher Bank; ING und Comdirect
MOVEit-Schwachstelle: CCleaner-Nutzer auch betroffen; Deutsche Bank und ING lassen Datenleck prüfen
Sicherheits-News: BIG-Krankenkasse, Hülben, Rhein-Pfalz-Kreis, MOVEit, VMware (21. Juni 2023)
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen
MOVEit Transfer: Neue Sicherheitswarnung und Update (6. Juli 2023)
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen
Das MOVEit-Desaster: Proof of Concept; Clop-Gang veröffentlicht Opferdaten
MoveIT-Anbieter Progress Software meldet gravierende Schwachstellen in WS_FTP Server
Progress Kemp LoadMaster (Load-Balancer) Firmware aktualisieren