ISGroup Consultoría de Ciberseguridad

CVE-2024-48248: NAKIVO Backup and Replication – Lectura Arbitraria de Archivos sin Autenticación

NAKIVO Backup & Replication es una solución de protección de datos ampliamente utilizada, diseñada para realizar copias de seguridad y restauraciones en entornos virtualizados y físicos. Se ha descubierto una vulnerabilidad crítica en algunas versiones del software que permite a un atacante no autenticado leer archivos arbitrarios en el sistema subyacente. Esta vulnerabilidad está siendo explotada activamente en entornos reales.

ProductoNAKIVO Backup & Replication
Fecha27-03-2025 10:35:43
Información
  • Solución disponible
  • Explotación activa

Resumen técnico

La vulnerabilidad es causada por una validación incorrecta de la entrada en la función STPreLoadManagement, la cual procesa datos proporcionados por el usuario en solicitudes JSON. Los atacantes pueden crear solicitudes HTTP POST maliciosas que contengan cargas útiles (payloads) específicas que aprovechen el método getImageByPath para leer archivos sensibles del sistema.

Al enviar una solicitud especialmente diseñada, un atacante no autenticado puede recuperar el contenido de archivos como /etc/passwd en sistemas basados en Linux o C:/windows/win.ini en sistemas Windows. La respuesta a estas solicitudes confirma la explotación exitosa cuando el contenido del archivo esperado aparece en los datos devueltos.

Esta vulnerabilidad representa un riesgo de seguridad significativo, ya que permite a los atacantes acceder a información confidencial del sistema, credenciales y otros datos sensibles, con el potencial de causar una escalada de privilegios o un compromiso mayor del sistema.

Recomendaciones

Para mitigar esta vulnerabilidad, los administradores deben adoptar las siguientes medidas:

  1. Actualización: actualizar NAKIVO Backup & Replication a la última versión corregida proporcionada por el proveedor.

  2. Restricción del acceso: limitar la exposición en la red restringiendo el acceso a la interfaz web y a los puntos finales (endpoints) de la API.

  3. Aplicar reglas del Web Application Firewall (WAF): implementar reglas de WAF para detectar y bloquear cargas útiles maliciosas que intenten explotar esta vulnerabilidad.

  4. Monitoreo de intentos de explotación: revisar regularmente los registros (logs) en busca de solicitudes de API inusuales o intentos de acceso no autorizado.

[Callforaction-THREAT-Footer]

In