Security Professionals - ipfw add deny all from eindgebruikers to any

RCE exploit voor ASP sites - CVE-2020-0618: RCE in MSSQL Server Reporting Services (SSRS).

20-02-2020, 12:28 door Erik van Straten, 9 reacties
Een subdomein van tesla.com bleek kwetsbaar voor CVE-2020-0618: RCE in MSSQL Server Reporting Services (SSRS).

Heb je ergens MSSQL draaien en de patches van februari nog niet geïnstalleerd, dan is ook jouw organisatie mogelijk kwetsbaar voor recentelijk gepubliceerde exploits die vanaf internet en/of LAN uitgevoerd kunnen worden.

Info: https://www.mdsec.co.uk/2020/02/cve-2020-0618-rce-in-sql-server-reporting-services-ssrs/

Tesla betaalde $10.000 beloning, met div. details "RCE on https://beta-partners.tesla.com due to CVE-2020-0618": https://bugcrowd.com/disclosures/d23e05b1-c4cc-440a-a678-d8045468c902/rce-on-https-beta-partners-tesla-com-due-to-cve-2020-0618

Als een server mogelijk al gecompromitteerd is, bevat deze pagina info over het vervangen van automatisch gegenereerde machine keys (die aanvallers zouden kunnen blijven misbruiken): https://soroush.secproject.com/blog/2019/05/danger-of-stealing-auto-generated-net-machine-keys/

Mijn bron (Duitstalig) met veel info: https://www.heise.de/security/meldung/Jetzt-updaten-Exploit-Code-fuer-Luecke-in-Microsoft-SQL-Server-veroeffentlicht-4663968.html

Nb. persoonlijk heb ik geen ervaring me MS SQL server en/of SSRS.

Als je vindt dat men geen Microsoft software moet gebruiken, plaats dan jouw mening in https://www.security.nl/posting/644655/Bedrijfsleven+stapt+in+hoog+tempo+over+op+open+source+software. Iedereen die overweegt of wil overstappen naar andere software dan van Microsoft verwijs ik ook naar die pagina voor argumenten en discussie.
Reacties (9)
20-02-2020, 12:41 door Anoniem
SQL Server Reporting Services (SSRS) is a server-based report generating software system from Microsoft.
Aldus wikipedia. Maar waarom is je RDBMS en/of de "reporting services" publiek toegankelijk?

Administered via a Web interface, it can be used to prepare and deliver a variety of interactive and printed reports.
Zelfs dat is geen excuus.
20-02-2020, 13:19 door [Account Verwijderd]
Dat is een serieuze dagtaak om alle updates bij te houden tegenwoordig. Ik zal het nog maar een keer benoemen. Gebruik Linux (of OpenBSD) en MariaDB of PostgreSQL maar SQLite is meestal ook een prima alternatief.
20-02-2020, 13:43 door karma4
Door donderslag: Dat is een serieuze dagtaak om alle updates bij te houden tegenwoordig. Ik zal het nog maar een keer benoemen. Gebruik Linux (of OpenBSD) en MariaDB of PostgreSQL maar SQLite is meestal ook een prima alternatief.
Het is een serieuze dagtaak om alle updates bij te houden met de alternatieven die je noemt.
Lees eerst even beter waar het hier om gaat SSRS.
https://docs.microsoft.com/en-us/sql/reporting-services/create-deploy-and-manage-mobile-and-paginated-reports?view=sql-server-ver15 Het maken van rapportjes en gebruik van achterliggende data. Als je dat open op interenet zet is er wat meer aan de hand dat niet goed zit. Dan kunnen ook alle WP lekken Drupal leekn afschuiven op het onderliggende OS.
Volg eerst eens de informatiebeveiligingsstrategie zoals sinds jaar en dag word uitgedragen maar helaas gesaboteerd wordt.
20-02-2020, 14:11 door Bitje-scheef
Door donderslag: Dat is een serieuze dagtaak om alle updates bij te houden tegenwoordig. Ik zal het nog maar een keer benoemen. Gebruik Linux (of OpenBSD) en MariaDB of PostgreSQL maar SQLite is meestal ook een prima alternatief.

Ben ik niet met je eens ook al draag is OSS een warm hart toe. Iedere applicatie of OS heeft updates tov security.
Daarnaast is MSSQL nu net een prima product van MS wat bijzonder goed werkt en draait.
20-02-2020, 14:43 door Anoniem
Door donderslag: Dat is een serieuze dagtaak om alle updates bij te houden tegenwoordig. Ik zal het nog maar een keer benoemen. Gebruik Linux (of OpenBSD) en MariaDB of PostgreSQL maar SQLite is meestal ook een prima alternatief.
Dan mag je iedere dag je updates gaan bijhouden, en in je change proces gaan gieten om te testen. Daar zit bijna geen bedrijf op te wachten, en kom je onderop te liggen met we wijziging verzoek.
Het is juist bij Microsoft geen dag taak, want je weet exact op welke dag de updates uitkomen. Ideaal te plannen. Onze planningen zijn hier het complete jaar al op afgestemd. Gebruikers weten exact wat ze kunnen verwachten en de ontwikkelteams hebben dit ook mee genomen in hun planningen.
Iedereen weet waar die aan toe is. Vooral de ontwikkelteams en eind gebruikers zijn hier erg blij mee.
20-02-2020, 17:03 door Anoniem
Door Anoniem:
SQL Server Reporting Services (SSRS) is a server-based report generating software system from Microsoft.
Aldus wikipedia. Maar waarom is je RDBMS en/of de "reporting services" publiek toegankelijk?
Niet alle aanvallen komen vanaf het publieke intrastructuur.

Door donderslag: Dat is een serieuze dagtaak om alle updates bij te houden tegenwoordig. Ik zal het nog maar een keer benoemen. Gebruik Linux (of OpenBSD) en MariaDB of PostgreSQL maar SQLite is meestal ook een prima alternatief.
En die databases zijn te vergelijken met MSSQL Reporting services? Ik mag hopen dat je het verschil tussen deze producten weet. Maar je laat eigenlijk zien, dat je niet weet wat het voor een product is, en dus helemaal geen alternatief is.
Nog of het een alternatief is.... Hangt helemaal af van je applicatie landschap.
Daarnaast als je SQLite wilt vergelijken met MSSQL.

Dus nee. Duidelijk een slecht advies, waarbij je helaas je eigen onkunde laat zien. (sorry......)
20-02-2020, 19:48 door Erik van Straten
Het Nederlandse NCSC heeft de inschaling (kans/schade) verhoogd van medium/medium naar high/medium i.v.m. het verschijnen van de exploit: https://www.ncsc.nl/actueel/advisory?id=NCSC-2020-0118.

Ook het Duitse CERT-BUND heeft de inschaling ietsje aangepast: https://www.cert-bund.de/advisoryshort/CB-K20-0126%20UPDATE%201.

Persoonlijk zou ik niet het oliebollenadvies van minister Grapperhaus opvolgen (die in https://www.security.nl/posting/643499/Deel+ministerie+J%26V+maandenlang+kwetsbaar+door+Pulse+Secure-lek stelt dat je kunt wachten op de ncsc.nl inschaling high/high en dan nog 1 week de tijd hebt), maar direct de patch voor CVE-2020-0618 toepassen.
20-02-2020, 20:13 door Tintin and Milou
Morgen toch maar eens wat vragen gaan stellen aan onze security officers en team leiders of deze in de patch ronden is mee genomen. SQL valt er helaas nog wel eens buiten. SQL beheer valt vaak niet onder de Microsoft Beheerders en wordt dus nog wel eens vergeten binnen organisaties.
20-02-2020, 20:24 door Anoniem
Door Anoniem:
En die databases zijn te vergelijken met MSSQL Reporting services? Ik mag hopen dat je het verschil tussen deze producten weet. Maar je laat eigenlijk zien, dat je niet weet wat het voor een product is, en dus helemaal geen alternatief is.
Nog of het een alternatief is.... Hangt helemaal af van je applicatie landschap.
Nou onze rapportageman is anders helemaal niet zo blij met dat product. Voorheen hadden we Hyperion en dat was
aanmerkelijk krachtiger zegt ie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search