Múltiples vulnerabilidades en Yellowfin BI podrían permitir ataques RCE

Los investigadores han descubierto numerosas vulnerabilidades en la plataforma de BI de Yellowfin que podrían permitir ataques de ejecución remota de código. Las vulnerabilidades existían principalmente debido a claves codificadas en la aplicación. Los desarrolladores de Yellowfin BI corrigieron las vulnerabilidades después del informe de errores.

Existían vulnerabilidades de Yellowfin BI debido a claves codificadas

Compartiendo los detalles en una publicación de blog reciente, el equipo de Assetnote destacó numerosas vulnerabilidades graves en la plataforma de BI de Yellowfin.

Como se explicó, los investigadores encontraron estas vulnerabilidades mientras auditaban Yellowfin BI, como suelen hacer con las aplicaciones de terceros para encontrar vulnerabilidades de autenticación previa. Además, los investigadores explicaron que el mapeo de la superficie de ataque previa a la autenticación en las bases de código monolíticas de Java ayuda a detectar posibles rutas a través de las cuales pueden ocurrir accesos remotos sin autenticación.

Yellowfin BI es una plataforma de análisis que ayuda a las empresas a crear informes de inteligencia de datos y otras actividades de análisis al proporcionarles un tablero interactivo para una mejor visualización.

Según Assetnote, encontraron las vulnerabilidades debido a las claves codificadas, y explotarlas podría incluso conducir a la ejecución remota de código. Específicamente, estos incluyen,

• CVE-2022-47884: una omisión de autenticación fue posible a través de StoryBoardAction en com/hof/mi/web/action/StoryBodyAction.java, lo que permitió iniciar sesión como usuario debido a una omisión de firma que se produjo debido a la clave privada codificada subyacente.
• CVE-2022-47885: Existía otra omisión de autenticación en el servlet JsAPI debido a la cookie EXTAPI-IPID, una identificación de usuario cifrada con AES con claves codificadas. Cualquier usuario que conozca el ID de sesión de la víctima podría suplantar una sesión debido a las claves codificadas.
• CVE-2022-47882: la implementación de JWT en la API REST se basó en una clave codificada, lo que permitió a cualquier persona con una clave JWT extraída y una ID de token de actualización válida crear un usuario JWT válido y obtener privilegios elevados.
• CVE-2022-47883: los investigadores podrían ejecutar comandos arbitrarios a través de inyecciones de Java Naming and Directory Interface (JNDI), aprovechando un dispositivo forceString.

Los investigadores compartieron detalles técnicos y explotaciones de PoC para las vulnerabilidades en su publicación.

Correcciones de defectos recibidos

Después de descubrir los problemas, el equipo de Assetnote contactó a los desarrolladores de Yellowfin BI para informar las fallas.

En respuesta, los desarrolladores corrigieron las vulnerabilidades y publicaron las correcciones con Yellowfin BI 9.8.1. Por lo tanto, todos los usuarios deben asegurarse de utilizar la última versión del software para evitar vulnerabilidades.

Fuente