tgstation-server's DreamMaker omgeving bestanden buiten de deployment directory kunnen gecompileerd en uitgevoerd worden door gebruikers met onvoldoende rechten

Een succesvolle exploitatie van CVE-2024-41799 kan leiden tot remote code execution op de tgstation-server. Een aanvaller kan kwaadaardige .dme bestanden uploaden (via tgstation-server of andere methoden) en deze vervolgens configureren om te worden uitgevoerd. Als de server draait in BYOND's vertrouwde beveiligingsniveau, kan dit de aanvaller volledige controle geven over het systeem. De impact is aanzienlijk, aangezien een aanvaller potentieel gevoelige gegevens kan stelen, de server kan compromitteren of kan worden gebruikt als springplank voor aanvallen op andere systemen binnen het netwerk. Dit scenario is vergelijkbaar met situaties waarin een aanvaller controle krijgt over een server door middel van het uitvoeren van kwaadaardige code.

tgstation-server deployments, particularly those running versions 4.0.0 through 6.7.9, are at risk. Environments utilizing the "Set .dme Path" privilege and configured with BYOND's trusted security level are especially vulnerable. Shared hosting environments running tgstation-server should be considered high-risk due to the potential for cross-tenant exploitation.

• linux / server:

journalctl -u tgstation-server | grep '.dme Path' -i

• linux / server:

lsof | grep '.dme'

• generic web: Inspect tgstation-server configuration files for insecure settings related to trusted security level and shell() proc.

1. 2024-07-29Disclosure

   disclosure

1. Gereserveerd2024-07-22
2. Gepubliceerd2024-07-29
3. Gewijzigd2024-08-02
4. EPSS bijgewerkt2026-04-02

De primaire mitigatie voor CVE-2024-41799 is het upgraden van tgstation-server naar versie 6.8.0 of hoger. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere stabiele versie (indien beschikbaar) en implementeer tijdelijke maatregelen. Beperk de toegang tot de 'Set .dme Path' privilege tot strikt noodzakelijke gebruikers. Configureer de server niet in BYOND's vertrouwde beveiligingsniveau, tenzij dit absoluut noodzakelijk is. Monitor logbestanden op verdachte activiteiten, zoals pogingen om .dme bestanden te manipuleren of ongebruikelijke procesexecuties. Er zijn geen specifieke Sigma of YARA patronen bekend voor deze specifieke kwetsbaarheid, maar algemene detectie van kwaadaardige procesexecuties is aan te raden.