Joint advi­so­ry AA22-279A (4/4)

3. Продетектированные типы уязвимостей.

Remote Code Exe­cu­tion
Com­mand Injec­tion
Arbi­trary File Read­ing
Authen­ti­ca­tion Bypass
Path Tra­ver­sal

Как видим все уязвимости очевидно критичные за исключением одного "Path Tra­ver­sal":

Path Tra­ver­sal — Cit­rix Appli­ca­tion Deliv­ery Con­troller (CVE-2019–19781)

Описание уязвимости не оставляет никаких возможностей для детектирования другого типа:

"An issue was dis­cov­ered in Cit­rix Appli­ca­tion Deliv­ery Con­troller (ADC) and Gate­way 10.5, 11.1, 12.0, 12.1, and 13.0. They allow Direc­to­ry Tra­ver­sal".

Этот же тип указывается в отчете AA22-279A: Cit­rix ADC CVE-2019–19781 Path Tra­ver­sal

И только в описании эксплоита мы можем видеть, что это по факту RCE: "This tool exploits a direc­to­ry tra­ver­sal bug with­in Cit­rix ADC (NetScalers) which calls a perl script that is used to append files in an XML for­mat to the vic­tim machine. This in turn allows for remote code exe­cu­tion."

Что ж, это очередное напоминание о том, что жестко фильтроваться по типу уязвимости нельзя и доверять описанию из nvd тоже нельзя. Тип уязвимости может уточняться со временем, а изменения в NVD никто не вносит.

В части случаев Vul­ris­tics может помочь более точно определить тип уязвимости:

AA22-279A: Apache HTTP Serv­er CVE-2021–41773 Path Tra­ver­sal
Vul­ris­tics: Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–41773)

Почему? Потому что в описании "If CGI scripts are also enabled for these aliased pathes, this could allow for remote code exe­cu­tion."

Но конечно Vul­ris­tics это не серебряная пуля и кроме ручного разбора публикаций об уязвимостях и эксплоитах тут ничего не придумаешь.

Также не могу не указать, что ещё для части уязвимостей Vul­risitcs определил типы уязвимостей более корректно в соответствии с описанием:

AA22-279A: Git­Lab CE/EE CVE-2021–22205 Remote Code Exe­cu­tion
Vul­ris­tics: Com­mand Injec­tion — Git­Lab (CVE-2021–22205) — Urgent [947]
"… which result­ed in a remote com­mand exe­cu­tion."

AA22-279A: Sitecore XP CVE-2021–42237 Remote Code Exe­cu­tion
Vul­ris­tics: Sitecore Expe­ri­ence Plat­form (XP) (CVE-2021–42237)
"… it is pos­si­ble to achieve remote com­mand exe­cu­tion on the machine."

AA22-279A: VMware vCen­ter Serv­er CVE-2021–22005 Arbi­trary File Upload
Vul­ris­tics: Remote Code Exe­cu­tion — VMware vCen­ter (CVE-2021–22005)
"…may exploit this issue to exe­cute code on vCen­ter Serv­er by upload­ing a spe­cial­ly craft­ed file."

AA22-279A: F5 Big-IP CVE-2022–1388 Remote Code Exe­cu­tion
Vul­ris­tics: Authen­ti­ca­tion Bypass — BIG-IP (CVE-2022–1388)
… undis­closed requests may bypass iCon­trol REST authen­ti­ca­tion"

AA22-279A: Apache HTTP Serv­er CVE-2021–41773 Path Tra­ver­sal
Vul­ris­tics: Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–41773)
"… this could allow for remote code exe­cu­tion."

AA22-279A: Apache CVE-2022–24112 Authen­ti­ca­tion Bypass by Spoof­ing
Vul­ris­tics: Remote Code Exe­cu­tion — Apache APISIX (CVE-2022–24112)
"… is vul­ner­a­ble to remote code exe­cu­tion."

AA22-279A: Buf­fa­lo WSR CVE-2021–20090 Rel­a­tive Path Tra­ver­sal
Vul­ris­tics: Authen­ti­ca­tion Bypass — Buf­fa­lo WSR (CVE-2021–20090)
"… allow unau­then­ti­cat­ed remote attack­ers to bypass authen­ti­ca­tion."

Поэтому не спешите доверять типу уязвимости из CISA Known Exploit­ed Vul­ner­a­bil­i­ties Cat­a­log и учитывать его при приоритизации.