Orange Cyber­de­fense heeft kritieke kwets­baar­heden in ReCrystal­lize Server ontdekt. Deze kwets­baar­heden maken het voor onbevoegden mogelijk om op afstand en zonder authen­ti­catie toegang tot getroffen systemen te krijgen. Op dit moment is nog geen patch beschikbaar.

ReCrystal­lize Server is server­soft­ware waarmee je inter­ac­tieve rapporten kunt delen. Gebrui­kers kunnen deze bekijken in een webbrowser, zonder dat daarvoor extra software nodig is. Een van de kwets­baar­heden, ontdekt door securi­ty­spe­ci­a­list Paul van der Haas, maakt misbruik van een bevei­li­gingslek binnen de authen­ti­ca­tie­me­cha­nismen van de software. Aanval­lers kunnen hiermee speciale verzoeken naar de server sturen, die deze beschouwt als legitiem. Daardoor kunnen kwaad­wil­lenden mogelijk admini­stra­tieve controle over de server krijgen. Op die manier kunnen ze onder andere gevoe­lige gegevens bekijken, wijzigen of verwij­deren, en mogelijk andere systemen binnen het netwerk compromitteren.

Onmiddellijke acties voor eindgebruikers:

De kwets­baar­heid is direct na de ontdek­king gedeeld met de betrokken fabri­kant ReCrystal­lize Software en de wereld­wijde cyber­se­cu­ri­ty­da­ta­base MITRE. Het is niet bekend of deze kwets­baar­heid al misbruikt is. Zolang er nog geen oplos­sing is, dringen we er bij alle ReCrystal­lize Server-gebrui­kers op aan om de volgende richt­lijnen strikt te volgen:

1. Serve­r­iso­latie: beperk de toegang tot de ReCrystal­lize Server zoveel mogelijk, zodat deze alleen beschik­baar is voor gebrui­kers die deze daadwer­ke­lijk nodig hebben. Dit verkleint het risico op ongeau­to­ri­seerde toegang aanzienlijk.
2. Toepas­sing van harde­ning: harden ReCrystal­lize Server door onder andere het uitscha­kelen van absolute paden, het wijzigen van het standaard­wacht­woord en het inscha­kelen van encryptie.
3. Verster­king van de onder­lig­gende webserver: het is cruciaal om de webserver up-to-date te houden en te zorgen dat het principe van het minste privi­lege wordt toege­past. Wij adviseren ook om uitgaand SMB-verkeer te blokkeren om de veilig­heid verder te verhogen.

Paul van der Haas heeft zijn bevin­dingen uitge­breid beschreven in deze blog.