Plataforma
linux
Componente
zimaos
Corregido en
1.2.5
La vulnerabilidad CVE-2024-48931 afecta a ZimaOS, un sistema operativo derivado de CasaOS, en versiones anteriores o iguales a 1.2.4. Esta falla de acceso arbitrario de archivos permite a usuarios autenticados leer archivos sensibles del sistema, como las contraseñas hasheadas almacenadas en /etc/shadow. La explotación exitosa de esta vulnerabilidad puede resultar en la exposición de información confidencial y la posible escalada de privilegios. La versión 1.2.5 corrige esta vulnerabilidad.
El impacto de esta vulnerabilidad es significativo. Un atacante autenticado puede explotar la API de ZimaOS para leer cualquier archivo al que el usuario tenga acceso. La capacidad de leer el archivo /etc/shadow es particularmente preocupante, ya que contiene hashes de contraseñas para todos los usuarios del sistema. Con estos hashes, un atacante podría intentar realizar ataques de fuerza bruta o rainbow table para obtener contraseñas en texto plano, lo que permitiría el acceso no autorizado a cuentas de usuario y el control del sistema. La vulnerabilidad es similar a otras fallas de acceso a archivos que han permitido la exfiltración de datos sensibles en entornos similares, como la lectura de archivos de configuración que contienen credenciales de bases de datos.
CVE-2024-48931 fue publicado el 24 de octubre de 2024. La probabilidad de explotación se considera media debido a la relativa facilidad de explotación (requiere autenticación, pero la validación de entrada es deficiente) y la sensibilidad de los datos potencialmente expuestos. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de la vulnerabilidad y su impacto potencial la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear los sistemas ZimaOS para detectar signos de actividad sospechosa.
Organizations and individuals using ZimaOS, particularly those running it on x86-64 systems with UEFI, are at risk. Shared hosting environments where multiple users share a single ZimaOS instance are particularly vulnerable, as a compromise of one user's account could lead to the exposure of data for all users on the system. Legacy configurations with weak authentication mechanisms are also at increased risk.
• linux / server:
journalctl -u zimaos | grep -i "file access"• linux / server:
ps aux | grep zimaos• generic web:
curl -I http://<Zima_Server_IP:PORT>/v3/file?token=<valid_token>&files=/etc/shadow• generic web:
grep "/etc/shadow" /var/log/nginx/access.logdisclosure
Estado del Exploit
EPSS
0.53% (67% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-48931 es actualizar ZimaOS a la versión 1.2.5 o posterior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso más estrictos en la API de ZimaOS para limitar el acceso a archivos sensibles. Esto podría incluir la validación exhaustiva de la entrada del usuario para el parámetro files, asegurando que solo se permitan rutas de archivos autorizadas. Además, se debe considerar la implementación de un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Verifique después de la actualización que la API no permita el acceso a archivos sensibles mediante una prueba de lectura de archivos con diferentes parámetros.
Actualizar a una versión parcheada cuando esté disponible. Como no hay una versión parcheada, se recomienda restringir el acceso a la API y monitorear el sistema en busca de accesos no autorizados hasta que se publique una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-48931 is a HIGH severity vulnerability in ZimaOS versions ≤1.2.4 that allows authenticated users to read arbitrary files, potentially including sensitive system files like /etc/shadow.
You are affected if you are running ZimaOS version 1.2.4 or earlier. Upgrade to version 1.2.5 to mitigate the risk.
Upgrade ZimaOS to version 1.2.5 or later. As a temporary workaround, implement a WAF rule to block suspicious requests to the /v3/file endpoint.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the ZimaOS official website and GitHub repository for the latest security advisories and updates related to CVE-2024-48931.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.