Krytyczne podatności w frameworku Telerik UI dla ASP.NET

Zespół CSIRT NASK oraz CSIRT GOV ostrzegają przed aktywnie wykorzystywanymi podatnościami CVE-2017-9248 oraz CVE-2019-18935 w oprogramowaniu Telerik UI dla ASP.NET. Telerik to framework pozwalający na wydajne budowanie interfejsów użytkownika w web-aplikacjach tworzonych w języku ASP.NET.
                                                                     

Podatność CVE-2017-9248 polega na słabości kryptograficznej klucza wykorzystywanego w pliku Telerik.Web.UI.Dialoghandler.aspx i pozwala na wygenerowanie klucza, który wysłany w żądaniu http umożliwia wgranie dowolnego pliku do dowolnego katalogu, do którego web serwer ma uprawnienia do zapisu.

                                                

Więcej szczegółów odnośnie omawianej podatność oraz możliwości jej patchowania znajduje się na stronie pomocy technicznej producenta: https://www.telerik.com/support/kb/aspnet-ajax/details/cryptographic-weakness

                                               

Drugą podatnością wykrytą w listopadzie 2019 r. jest CVE-2019-18935. Polega ona na zdalnym wykonaniu kodu, dzięki deserializacji obiektu w klasie 'RadAsyncUpload'. W połączeniu z wcześniej opisywaną podatnością może w konsekwencji doprowadzić do uruchomienia szkodliwych plików.

                                             

Więcej szczegółów odnośnie omawianej podatność oraz możliwości jej patchowania znajduje się na stronie pomocy technicznej producenta: https://www.telerik.com/support/kb/aspnet-ajax/details/allows-javascriptserializer-deserialization

                                                  

W związku z powyższym, zespoły CSIRT NASK oraz CSIRT GOV rekomendują:

  1. sprawdzenie, czy systemy TI działające w Państwa sieciach wykorzystują oprogramowanie Telerik UI dla ASP.NET,
  2. jak najszybsze wdrożenie aktualizacji przedmiotowego oprogramowania do wersji wolnych od przedmiotowych podatności, jeśli takowe działa w obrębie Państwa infrastruktury,
  3. bieżącą i stałą analizę logów z posiadanych systemów pod kątem występowania anomalii.
                                            

W przypadku posiadania systemów TI, na których jest zainstalowane przedmiotowe oprogramowanie, prosimy o informację zwrotną: w jakiej wersji posiadają Państwo powyższe oprogramowanie oraz opis działań zmierzających do wyeliminowania opisanych podatności.

                                          

Sugerujemy zweryfikować dostawców usług i aplikacji webowych (hosting, wsparcie dla aplikacji webowej). Dostawcy tego typu usług mogli korzystać z tego rozwiązania, a więc posiadana aplikacja także może być podatna. 

                          

 W razie pytań lub wątpliwości prosimy o kontakt pod adresem e-mail: incydent@mz.gov.pl