O Red Team da DropReal descobriu novas vulnerabilidades em sistema da Dalmark Systems. A aplicação Systeam é um sistema ERP com arquitetura composta de elementos on-premise para aplicação e database, e SaaS para controle de tenants para autenticação e autorização.
Ao todo, foram 4 publicações de CVE sendo elas:
CVE–2021-44874 – O módulo de report bi expõe o comando SQL a ser executado no SGDB para obter dados que serão utilizados para gerar report. Um ator malicioso autenticado pode usar este endpoint como um prompt SQL autenticado e manipular qualquer consulta que o usuário da aplicação tem permissão de executar.
CVE–2021-44875 – Este problema ocorre durante o processo de recuperação de senha do usuário fornecido. Uma diferença de mensagens permite a um ator malicioso identificar se um usuário existe ou não, possibilitando ataque posterior de password spray ou força-bruta.
CVE–2021-44876 – Este problema ocorre durante o processo de identificação do tenant correto do usuário fornecido. Uma diferença de mensagens permite a um ator malicioso identificar se um usuário existe ou não, possibilitando ataque posterior de password spray ou força-bruta.
CVE–2021-44877 – Uma vulnerabilidade do tipo falha em controle de acesso foi encontrada na aplicação Systeam. A vulnerabilidade permite a um ator malicioso não autenticado, obter um token JWT temporário junto ao endpoint “/auth/api/accessControl/list”, utilizado para validar requisições legitimas enviadas os endpoints de API. Ao utilizar este token como autenticação, alguns endpoints retornam dados de configuração de ambiente e sistema, do tenant alvo. Entre estes endpoints, está o “/auth/api/user/getCustomerByUser”. Caso o tenant tenha configurado uma conta smtp padrão para utilização do recurso de envio de emails pela aplicação, as informações de servidor, porta, usuário e senha, são acessadas através de chamada direta ao endpoint usando o token temporário gerado pela aplicação, sem que haja necessidade de autenticar-se na aplicação ou tenant.
Referências:
CVE–2021-44874 – MITRE – NIST – REF.
CVE–2021-44875 – MITRE – NIST – REF.
