PRTG Network Monitor nelle versioni 18.2.39.1661 e precedenti è vulnerabile alla creazione remota di utenti non autenticati a causa di controlli di autorizzazione inadeguati e all’inclusione di file locali (LFI). Gli aggressori possono sfruttare questa falla per generare utenti con privilegi elevati, inclusi amministratori, senza autenticazione. Attualmente, questa vulnerabilità è attivamente sfruttata.
| Prodotto | PRTG-Network-Monitor |
| Data | 2025-02-07 15:35:32 |
| Informazioni | Fix Available, Active Exploitation |
Riassunto tecnico
La vulnerabilità è presente nel file /public/login.htm, che consente l’inclusione non autorizzata di file tramite la direttiva include. Gli aggressori possono manipolare questa direttiva per includere il file /api/addusers.htm, il che consente loro di creare nuovi utenti con privilegi di lettura-scrittura e amministrativi. Poiché questa vulnerabilità influisce sui meccanismi di autenticazione, lo sfruttamento può portare a una compromissione completa del sistema di monitoraggio, permettendo agli aggressori di manipolare le configurazioni di rete, disattivare allerte o spostarsi ulteriormente all’interno di un ambiente.
Un exploit proof-of-concept (PoC) pubblicamente disponibile dimostra come un attaccante può creare una richiesta malevola per aggiungere un nuovo utente senza necessità di autenticazione. Data la gravità della falla e il suo sfruttamento attivo, le organizzazioni che utilizzano versioni vulnerabili di PRTG Network Monitor dovrebbero prendere immediatamente misure correttive.
Raccomandazioni
Per mitigare questa vulnerabilità, gli utenti dovrebbero:
- Aggiornare all’ultima versione di PRTG Network Monitor che risolve questo problema.
- Limitare l’accesso esterno all’interfaccia web a intervalli IP affidabili.
- Monitorare i log di rete per tentativi non autorizzati di creazione utenti.
- Applicare regole di Web Application Firewall (WAF) per bloccare richieste malevole che sfruttano questa falla.