21 de agosto de 2017

Múltiples vulnerabilidades en OSNEXUS QuantaStor

OSNEXUS QuantaStor es un software diseñado para facilitar el proceso de administración de almacenamiento. Está presentes en muchos centros de datos alrededor del mundo.
Se han encontrado 3 vulnerabilidades diferentes en la aplicación. Un ataque de enumeración de usuarios y dos vulnerabilidades XSS. Estas vulnerabilidades permitirían un ataque remoto para obtener nombres de usuarios válidos para realizar fuerza bruta y así obtener información confidencial.
Recursos afectados
      Versiones Afectadas: OSNEXUS QuantaStor v4
Enumeración de usuarios
El sistema de logueo del software devuelve distintas respuesta dependiendo de si el usuario está presente o no en el sistema. Aprovechando estas respuestas, el atacante podría realizar esta enumeración de usuarios del sistema, ya que podría distinguir cuentas válidas de las inválidas.
Vulnerabilidad XSS en “qsCall”
La API de QuantaStor acepta parámetros mediante el uso de "qsCall". Si el método llamado no existe salta un error indicando que el método invocado no es válido. Un atacante puede incluir código HTML o JS en las llamadas a "qsCall".
Vulnerabilidad XSS en “jsonrpc”
El "jsonrpc" de la API de QuantaStor acepta parámetros a través del uso de un diccionario en JSON. Si el método llamado no existe se dispara un error parecido al de la anterior vulnerabilidad. Un atacante puede aprovechar esto para incluir código HTML o JS en la key "method: x".
Recomendación
      Para corregir estas vulnerabilidades se recomienda actualizar a la versión 4.3.1 que solventa estos errores.
Más información
      Blog Una al día  http://unaaldia.hispasec.com/2017/08/multiples-vulnerabilidades-en-osnexus.html
Fuente: Hispasec.com