LiveConfig Advisory (CVE-2024-22851)

Disclaimer: Dieser Blogpost wurde ursprünglich im DriveByte Blog veröffentlicht. Da die Firma allerdings liquidiert wird, habe ich beschlossen meine alten Blogposts umzuziehen, damit sie nicht verloren gehen.

Inhaltsverzeichnis

1 Einführung
2 Betroffene Produkte
3 PoC
4 Risiko-Einschätzung
5 CVE ID
6 Lösung/Behebung
7 IOCs
8 Danksagung
9 Disclosure Timeline

Beschreibung

"LiveConfig ist die schnellste und schlankeste Controlpanel-Software auf dem Markt. Es vereinfacht die Serverkonfiguration und sorgt für einen zuverlässigen und sicheren Serverbetrieb."1.

Die LiveConfig® Software ist verwundbar für ein sogenanntes "Unauthentifiziertes Path Traversal" in Versionen < 2.5.2. Der verwundbare Endpoint ist dabei static. Aktuellere Versionen von LiveConfig® sind nicht verwundbar. Die Schwachstelle erlaubt es einem Angreifer, Systemdateien mit den Berechtigungen des benutzers liveconfig zu lesen. Das beinhaltet auch Kundendaten aus der LiveConfig® Datenbank selbst.

Betroffene Produkte

LiveConfig® < 2.5.2

PoC

curl -s -k -X $'GET' --path-as-is 'https://test.machine:8443/static///////../../../../etc/passwd'

Risiko Einschätzung

Es wurde ein CVSS 4.0 score von 8.7 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N errechnet, der zum besseren Verständnis hier aufgeschlüsselt ist:

Exploitability Metrics

Attack Vector (AV): Network (N)
Attack Complexity (AC): Low (L)
Attack Requirements (AT): None (N)
Privileges Required (PR): None (N)
User Interaction (UI): None (N)

Vulnerable System Impact Metrics

Confidentiality (VC): High (H)
Integrity (VI): None (N)
Availability (VA): None (N)

Subsequent System Impact Metrics

Confidentiality (SC): Low (L)
Integrity (SI): None (N)
Availability (SA): None (N)

CVE ID

CVE-2024-22851

Lösung/Behebung

Die Schwachstelle hat keinen hotfix. Die Schwachstelle ist allerdings ab Version 2.5.2 behoben. Die Komponente static wurde in dieser Version entfernt. Es wird empfohlen, trotzdem ein upgrade auf die aktuellste Version von LiveConfig® durchzuführen.

IOCs

Aufrufe auf den Endpunkt /static///////../../../../ können überprüft werden um eine potenzielle Ausnutzung der Schwachstelle zu erkennen.

Danksagung

Ein herzliches Dankeschön geht an das LiveConfig-Team für die hervorragende, schnelle und freundliche Zusammenarbeit.

Disclosure Timeline

06.11.2023 - Hersteller Informiert
06.11.2023 - Der Hersteller hat die Informationen überprüft und die Schwachstelle sowie deren unbewusste behebung in Commit 584a11418 vom 28.11.2017
09.01.2024 - Beantragung einer CVE
29.01.2024 - Bestätigung der Reservierung einer CVE durch MITRE
31.01.2024 - Veröffentlichung des Advisory