Im Rahmen eines Kundenprojekts hat unser Red-Team einen Zero Day bei einem Produkt des Schweizer Herstellers Cluebiz identifiziert. Dieses Produkt erlaubt die Administration von Endpoints über ein webbasiertes Panel. So erhalten die auf den Endpoints installierten Agents über die Cloud, bzw. dem Administrationspanel Instruktionen, Softwarepakete und ähnliches.

    Die Cluebiz-Cloud weist diverse Schwachstellen auf, welche es einem Angreifer ermöglichen, die Kontrolle über die administrierten Systeme sowie die Administrationsoberfläche zu erlangen und so anonym bösartige Instruktionen oder Applikationen an die Agents innerhalb des jeweiligen Kundennetzwerke zu versenden.

    Nach unserem aktuellen Wissenstand sind die aufgedeckten Schwachstellen nach wie vor vorhanden und bedrohen viele Kunden. Wir stehen in Kontakt mit den GovCERT.ch und haben bisher keine Hinweise darauf, dass diese Sicherheitslücke bereits bekannt ist oder missbraucht wurde. Es kann aber nicht ausgeschlossen werden.

    Der Hersteller wurde vor über 90 Tagen informiert und es soll aber bald ein Patch verfügbar sein. Um die Kunden dieses Produktes nicht zu gefährden, verzichten wir auf die Nennung technischer Details.

     

    Advisory zur Schwachstelle

    CLUEBIZ VULNERABILITY – no CVE

    Description

    Cluebiz Deliveries Shop (https://cluebiz.ch/deliveries) provides a cloud-based approach to distribute and manage software packages. The Cluebiz agent (installed on clients and/or servers) communicates with the Cluebiz cloud, and receives software packages and instructions, which are then processed with high privileges on the endpoints. The cloud infrastructure suffers from severe vulnerabilities, which allow an attacker (without any pre-authentication) to compromise the cloud infrastructure itself and gain privileged access to servers and web interfaces, including customer panels. From that point onwards, an attacker is able to compromise an arbitrary number of customers of his choice by sending malicious packages or instructions to the endpoints.

     

    Impact

    Critical – Remote Code Execution (cloud is reachable unrestricted over the internet) with NT/SYSTEM privileges on endpoints/agents. To our knowledge, all versions of the Cluebiz agent are prone to exploitation via the cloud environment, however only one agent version has been tested. The sole presence of the Cluebiz agent on a system puts its security at risk.

     

    Exploitability

    Easy – The vulnerabilities are easy to exploit and do not require any form of authentication. If the tested Cluebiz agent (version unknown) is running on a system, it is vulnerable to pre-authenticated remote code executions over the internet (using the cloud as an attack vector). There are strong indicators that all agents are vulnerable to this attack, however only one agent version has been tested.

     

    Technical Details

    Due to the critical combination (i.e. missing patch, easy exploitation, and high impact), we refrain from disclosing any technical details at this time.

     

    Mitigation

    The vendor does not yet provide a fix for the identified vulnerabilities, but a patch should be available soon. The detection of an already occurred or occurring potential exploitation is difficult, as the agents regularly receive a set of instructions from the cloud and spawn different processes. The only way to eliminate the risk is to uninstall or disable all Cluebiz agents and components or by implementing a firewall / proxy blocking rule for the communication to the Cluebiz cloud, until the patch is available and implemented.

     

    Reporter

    This vulnerability was discovered and reported by Luca Cappiello and David Haas of the InfoGuard Red-Team.


    Cluebiz-Vulnerability-e_Page_2


    Download Advisory