CyberPentestVulnérabilité

RCE sur PRTG Network Monitor (PENTEST)

Début 2020, une équipe de TEHTRIS est mandatée afin de réaliser à distance un audit intrusif (pentest).

Le niveau de maturité du système d’information audité ne permet pas d’identifier de vulnérabilité exposée directement de l’Internet. TEHTRIS décide alors de s’intéresser au seul composant accessible, c’est-à-dire l’interface web d’une solution de supervision réseau assez répandue, nommée PRTG Network Monitor.

Bien que cette solution dispose de la dernière version proposée par l’éditeur PEASSLER, TEHTRIS y découvre une vulnérabilité encore inconnue (#0day) permettant l’exécution de code à distance sans nécessiter d’authentification préalable.

Cette vulnérabilité est identifiée avec le numéro CVE-2020-10374.

Systèmes affectés

Le produit est nommé PAESSLER PRTG Network Monitor, les versions affectées sont celles disposant des versions 19.2.50 à 20.1.56.

Hacking éthique

Soucieux d’appliquer une démarche éthique lors de la découverte d’une vulnérabilité 0-day, TEHTRIS contacte alors l’éditeur PAESSLER afin de lui présenter la problématique tout en le mettant en relation avec le MITRE afin de bénéficier de l’attribution d’un numéro de CVE.

Ce dernier a été réactif et PAESSLER a corrigé la vulnérabilité dans la version « 20.1.57.1745 ».

TEHTRIS a ajouté le code d’exploitation à son outillage offensif mais ne publiera pas l’exploit afin d’éviter qu’il ne soit approprié par des acteurs malveillants.

À la date du premier avril 2020, une recherche en sources ouvertes (OSINT) a permis d’identifier plus de 30 000 serveurs PRTG Monitor exposés à l’Internet.

Partenariats

Les détails techniques de cette découverte peuvent être transmis aux partenaires et clients de TEHTRIS afin de permettre la création de signatures de détection voire la mise en cybersurveillance d’instances PRTG Monitor ne pouvant pas être mises à jour.

Recommandations

Les équipes de TEHTRIS recommandent de mettre à jour les versions de PRTG Monitor en appliquant les recommandations de l’éditeur.

Par ailleurs, il n’est pas recommandé de laisser vos serveurs de supervision exposés à l’Internet. Dans la mesure du possible, nous vous recommandons de protéger ce type de services par la création d’un bastion d’administration ne pouvant être accessible qu’au travers d’une connexion sécurisée via un VPN utilisant le protocole IPsec.

Les équipes TEHTRIS se tiennent à votre disposition pour toute information complémentaire.

Sources

TEHTRIS PENTEST

https://nvd.nist.gov/vuln/detail/CVE-2020-10374

https://www.paessler.com/prtg/history/stable

https://kb.paessler.com/en/topic/87668-how-can-i-mitigate-cve-2020-10374-until-i-can-update