NAKIVO Backup & Replication è una soluzione di protezione dei dati ampiamente utilizzata progettata per eseguire il backup e il ripristino di ambienti virtualizzati e fisici. È stata scoperta una vulnerabilità critica in alcune versioni del software che consente a un attaccante non autenticato di leggere file arbitrari sul sistema sottostante. Questa vulnerabilità è attivamente sfruttata in ambienti reali.

Riassunto tecnico

La vulnerabilità è causata da una validazione impropria dell’input nella funzione STPreLoadManagement, che elabora dati forniti dall’utente in richieste JSON. Gli attaccanti possono creare richieste HTTP POST dannose contenenti payload specifici che sfruttano il metodo getImageByPath per leggere file sensibili del sistema.

Inviando una richiesta appositamente costruita, un attaccante non autenticato può recuperare il contenuto di file come /etc/passwd su sistemi basati su Linux o C:/windows/win.ini su sistemi Windows. La risposta a queste richieste conferma lo sfruttamento riuscito quando i contenuti del file atteso appaiono nei dati restituiti.

Questa vulnerabilità rappresenta un rischio di sicurezza significativo, poiché consente agli attaccanti di accedere a informazioni riservate di sistema, credenziali e altri dati sensibili, con il potenziale di causare un’escalation dei privilegi o un compromesso ulteriore del sistema.

Raccomandazioni

Per mitigare questa vulnerabilità, gli amministratori dovrebbero adottare le seguenti misure:

1. Aggiornamento: aggiornare NAKIVO Backup & Replication all’ultima versione corretta fornita dal fornitore.

2. Restrizione dell’accesso: limitare l’esposizione in rete restringendo l’accesso all’interfaccia web e agli endpoint API.

3. Applicare Regole del Web Application Firewall (WAF): implementare regole WAF per rilevare e bloccare i payload malevoli che tentano di sfruttare questa vulnerabilità.

4. Monitoraggio dei Tentativi di Sfruttamento: rivedere regolarmente i log per richieste API insolite o tentativi di accesso non autorizzato.