RCE sur PRTG Network Monitor TEHTRIS PENTEST

Début 2020, une équipe de TEHTRIS est mandatée afin de réaliser à distance un audit intrusif (pentest).
Le niveau de maturité du système d’information audité ne permet pas d’identifier de vulnérabilité exposée directement de l’Internet. TEHTRIS décide alors de s’intéresser au seul composant accessible, il s’agit de l’interface web d’une solution de supervision réseau assez répandue, nommée PRTG Network Monitor.
Bien que cette solution dispose de la dernière version mise à disposition de l’éditeur PEASSLER, TEHTRIS y découvre une vulnérabilité encore inconnue (#0day) permettant l’exécution de code à distance sans nécessiter d’authentification préalable.
Cette vulnérabilité est identifiée avec le numéro CVE-2020-10374.

SYSTÈMES AFFECTÉS

Le produit est nommé PAESSLER PRTG Network Monitor, les versions affectées sont celles disposant des versions 19.2.50 à 20.1.56.

HACKING ÉTIQUE

Soucieux d’appliquer une démarche éthique lors de découverte de vulnérabilité 0day, TEHTRIS contacte alors l’éditeur PAESSLER afin de leur présenter la problématique tout en les mettant en relation avec le MITRE afin de bénéficier de l’attribution d’un numéro de CVE.
Ce dernier a été réactif, PAESSLER a corrigé la vulnérabilité dans la version « 20.1.57.1745 ».

TEHTRIS a ajouté le code d’exploitation à son outillage offensif mais ne publiera pas l’exploit afin d’éviter qu’il ne soit approprié par des acteurs malveillants.

À la date du premier avril 2020, une recherche en source ouverte (OSINT) permet d’identifier plus de 30 000 serveurs PRTG Monitor exposés à l’Internet.

PARTENARIATS

Les détails techniques de cette découverte peuvent être transmis aux partenaires et clients de TEHTRIS afin de permettre la création de signature de détection voire la mise en cyber-surveillance d’instance PRTG Monitor ne pouvant pas être mise à jour.

RECOMMANDATIONS

Les équipes de TEHTRIS recommandent de mettre à jour les versions de PRTG Monitor en appliquant les recommandations de l’éditeur.

Par ailleurs, il n’est pas recommandé de laisser exposés vos serveurs de supervision à l’Internet. Dans la mesure du possible, nous vous recommandons de protéger ce type de service par la création d’un bastion d’administration ne pouvant être accessible qu’au travers d’une connexion sécurisée via un VPN utilisant le protocole IPsec.

Les équipes TEHTRIS se tiennent à votre disposition pour toutes informations complémentaires.

close

Keep in touch with TEHTRIS