Histórico de Revisões

  • 1.0: 16 de novembro de 2021: versão inicial
  • 2.0: 09 de dezembro de 2021: adicionada ID da CVE

Resumo

A Veritas detectou um problema em que o Veritas Enterprise Vault poderia permitir a execução de códigos remotos em um Enterprise Vault Server vulnerável.

Problema Descrição Gravidade Identificador ID da CVE

1

Vulnerabilidade de desserialização de execução de códigos remotos em dados não confiáveis

Importante

ZDI-CAN-14074

CVE-2021-44679

2

Vulnerabilidade de desserialização de execução de códigos remotos em dados não confiáveis

Importante

ZDI-CAN-14075

CVE-2021-44680

3

Vulnerabilidade de desserialização de execução de códigos remotos em dados não confiáveis

Importante

ZDI-CAN-14076

CVE-2021-44678

4

Vulnerabilidade de desserialização de execução de códigos remotos em dados não confiáveis

Importante

ZDI-CAN-14078

CVE-2021-44677

5

Vulnerabilidade de desserialização de execução de códigos remotos em dados não confiáveis

Importante

ZDI-CAN-14079

CVE-2021-44682

6

Vulnerabilidade de desserialização de execução de códigos remotos em dados não confiáveis

Importante

ZDI-CAN-14080

CVE-2021-44681

Problema

Na inicialização, o aplicativo Enterprise Vault inicia vários serviços que detectam portas TCP .NET Remoting aleatórias para verificar possíveis comandos de aplicativos de clientes. Essas portas TCP podem ser exploradas devido a vulnerabilidades inerentes ao serviço .NET Remoting. Um ataque malicioso pode explorar serviços TCP remotos e serviços IPC locais no Enterprise Vault Server.

Essa vulnerabilidade só afeta o servidor do Enterprise Vault quando todas estas condições estão presentes:

  • O ataque malicioso tem acesso RDP a uma das máquinas virtuais (VMs) da rede. Para ter acesso RDP, o invasor precisa fazer parte do grupo de usuários remotos da área de trabalho.
  • O invasor malicioso conhece o endereço IP do servidor do EV, os IDs dos processos EV (aleatórios), as portas TCP dinâmicas do EV e os URIs de objetos do EV que podem ser acessados remotamente.
  • O firewall no servidor do EV não está devidamente configurado

Esta vulnerabilidade pode permitir a execução de códigos remotos se um invasor envia dados especialmente elaborados para um servidor vulnerável do EV.

Versões afetadas
Todas as versões atualmente suportadas do Enterprise Vault: 14.2.1, 14.2, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0, 12.5.3, 12.5.2, 12.5.1, 12.5. 12.4.2. 12.4.1. 12.4, 12.3.2, 12.3.1, 12.3, 12.2.3, 12.2.2, 12.2.1, 12.2, 12.1.3, 12.1.2, 12.1.1, 12.1, 12.0.4, 12.0.3, 12.0.2, 12.0.1, 12.0. Versões anteriores não suportadas também podem ser afetadas.

Atenuação

O servidor do Enterprise Vault pode ser protegido contra esses ataques ao .NET Remoting com a aplicação destas orientações:

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Agradecimento

A Veritas gostaria de agradecer a Markus Wulftange e Reno Ronert, trabalhando em parceria com a Zero Day Initiative (ZDI) da Trend Micro por terem nos notificado sobre tais vulnerabilidade.

Isenção de responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054