OSNEXUS QuantaStor es un software
diseñado para facilitar el proceso de administración de almacenamiento. Está
presentes en muchos centros de datos alrededor del mundo.
Se han encontrado 3 vulnerabilidades
diferentes en la aplicación. Un ataque de enumeración de usuarios y dos
vulnerabilidades XSS. Estas vulnerabilidades permitirían un ataque remoto para
obtener nombres de usuarios válidos para realizar fuerza bruta y así obtener
información confidencial.
Recursos
afectados
• Versiones Afectadas:
OSNEXUS QuantaStor v4
Enumeración
de usuarios
El sistema de logueo del software
devuelve distintas respuesta dependiendo de si el usuario está presente o no en
el sistema. Aprovechando estas respuestas, el atacante podría realizar esta
enumeración de usuarios del sistema, ya que podría distinguir cuentas válidas
de las inválidas.
Vulnerabilidad XSS en “qsCall”
La API de QuantaStor acepta parámetros
mediante el uso de "qsCall". Si el método llamado no existe salta un
error indicando que el método invocado no es válido. Un atacante puede incluir
código HTML o JS en las llamadas a "qsCall".
Vulnerabilidad XSS en “jsonrpc”
El "jsonrpc" de la API de
QuantaStor acepta parámetros a través del uso de un diccionario en JSON. Si el
método llamado no existe se dispara un error parecido al de la anterior
vulnerabilidad. Un atacante puede aprovechar esto para incluir código HTML o JS
en la key "method: x".
Recomendación
• Para corregir estas
vulnerabilidades se recomienda actualizar a la versión 4.3.1 que solventa estos
errores.
Más
información
• Blog Una al día http://unaaldia.hispasec.com/2017/08/multiples-vulnerabilidades-en-osnexus.html
Fuente:
Hispasec.com