L’éditeur de solutions de protection des données Arcserve a corrigé une faille de sécurité de haute sévérité dans son logiciel de sauvegarde Unified Data Protection, qui peut permettre à des attaquants de contourner l’authentification et d’obtenir des privilèges d’administrateur.
Selon la société, Arcserve UDP est une solution de protection des données et des ransomwares conçue pour aider les clients à contrecarrer les attaques de ransomwares, à restaurer les données compromises et à permettre une reprise après sinistre efficace pour assurer la continuité de l’activité.
Arcserve a publié UDP 9.1 pour corriger la vulnérabilité le 27 juin, quatre mois après que le bogue a été découvert et signalé par les chercheurs en sécurité Juan Manuel Fernandez et Sean Doherty de l’équipe rouge ActiveBreach de MDSec.
Sur les systèmes utilisant Arcserve UDP 7.0 à 9.0, la faille permet aux attaquants sur le réseau local d’accéder à l’interface d’administration UDP après avoir obtenu des informations d’identification faciles à déchiffrer en capturant des requêtes SOAP contenant des AuthUUID pour obtenir des sessions d’administrateur valides.
MDSec a également partagé des exploits et des outils de démonstration de concept qui peuvent être utilisés pour rechercher des instances UDP Arcserve avec une configuration par défaut sur les réseaux locaux, ainsi que pour récupérer et décrypter des informations d’identification en exploitant le contournement de l’authentification dans l’interface de gestion.
« Enfin, si la version d’ArcServe n’a pas été corrigée, il est possible d’exploiter un contournement d’authentification dans l’interface web de gestion et de récupérer les mots de passe des administrateurs. Tous les mots de passe récupérés par les outils peuvent être décryptés à l’aide de ArcServeDecrypter.exe. »
