PRTG Network Monitor en sus versiones 18.2.39.1661 y anteriores es vulnerable a la creación remota de usuarios no autenticados debido a controles de autorización inadecuados y a la inclusión de archivos locales (LFI). Los atacantes pueden aprovechar esta falla para generar usuarios con privilegios elevados, incluidos administradores, sin necesidad de autenticación. Actualmente, esta vulnerabilidad está siendo explotada activamente.
| Producto | PRTG-Network-Monitor |
| Fecha | 2025-02-07 15:35:32 |
| Información |
|
Resumen técnico
La vulnerabilidad está presente en el archivo /public/login.htm, el cual permite la inclusión no autorizada de archivos mediante la directiva include. Los atacantes pueden manipular esta directiva para incluir el archivo /api/addusers.htm, lo que les permite crear nuevos usuarios con privilegios de lectura-escritura y administrativos. Dado que esta vulnerabilidad afecta a los mecanismos de autenticación, la explotación puede conducir a una compromisión completa del sistema de monitoreo, permitiendo a los atacantes manipular configuraciones de red, desactivar alertas o desplazarse lateralmente dentro de un entorno.
Un exploit de prueba de concepto (PoC) disponible públicamente demuestra cómo un atacante puede crear una solicitud maliciosa para añadir un nuevo usuario sin necesidad de autenticación. Dada la gravedad de la falla y su explotación activa, las organizaciones que utilizan versiones vulnerables de PRTG Network Monitor deben tomar medidas correctivas de inmediato.
Recomendaciones
Para mitigar esta vulnerabilidad, los usuarios deben:
- Actualizar a la última versión de PRTG Network Monitor que soluciona este problema.
- Limitar el acceso externo a la interfaz web a rangos de IP confiables.
- Monitorear los registros de red en busca de intentos no autorizados de creación de usuarios.
- Aplicar reglas de Web Application Firewall (WAF) para bloquear solicitudes maliciosas que exploten esta falla.
Referencias
[Callforaction-THREAT-Footer]