Platform
other
Component
logsign-unified-secops-platform
Opgelost in
6.4.21
CVE-2024-7601 beschrijft een kwetsbaarheid voor Arbitrary File Access in Logsign Unified SecOps Platform. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden te verwijderen op systemen die kwetsbaar zijn. De kwetsbaarheid treft versies 6.4.20–6.4.20 van de software. Een fix is beschikbaar in versie 6.4.23.
Deze kwetsbaarheid maakt het mogelijk voor een geauthenticeerde aanvaller om willekeurige bestanden op het systeem te verwijderen. Aangezien de exploitatie authenticatie vereist, is de aanvaller in staat om in te loggen en vervolgens de kwetsbaarheid te misbruiken. Het potentieel voor schade is aanzienlijk, aangezien de bestanden in de context van root verwijderd kunnen worden, wat kan leiden tot systeeminstabiliteit, dataverlies en mogelijk compromittering van de gehele omgeving. Dit soort kwetsbaarheden kunnen vergelijkbaar zijn met scenario's waarbij gevoelige configuratiebestanden of logbestanden worden verwijderd om sporen van een inbraak te wissen.
De kwetsbaarheid is publiekelijk bekend gemaakt op 2024-08-21. Er is momenteel geen informatie beschikbaar over actieve campagnes of publieke proof-of-concept exploits. De impact van deze kwetsbaarheid is afhankelijk van de configuratie van het systeem en de gevoeligheid van de data die op het systeem is opgeslagen. De CVSS score van 7.1 (HIGH) geeft aan dat de kwetsbaarheid een aanzienlijk risico vormt.
Organizations heavily reliant on Logsign Unified SecOps Platform for security monitoring and incident response are at significant risk. Specifically, deployments with weak access controls or those using default configurations are particularly vulnerable. Shared hosting environments where multiple users share the same Logsign instance also face increased risk.
• linux / server:
journalctl -u logsign | grep -i "data_export_delete_all"• generic web:
curl -I https://<logsign_ip>:443/api/data_export_delete_all?path=/etc/passwd | grep -i "200 OK"disclosure
Exploit Status
EPSS
1.36% (80% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Logsign Unified SecOps Platform naar versie 6.4.23 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de HTTP API service op TCP poort 443. Implementeer strikte toegangscontroles en authenticatieprocedures om te voorkomen dat ongeautoriseerde gebruikers toegang krijgen tot de API. Monitor de logbestanden op verdachte activiteiten, zoals pogingen om bestanden te verwijderen. Na de upgrade, bevestig de fix door te proberen de kwetsbare API endpoint te gebruiken en te verifiëren dat de bestandsverwijderingsfunctie niet langer functioneert.
Actualice Logsign Unified SecOps Platform a la versión 6.4.23 o posterior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos mediante la validación adecuada de las rutas proporcionadas por el usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-7601 is a vulnerability allowing authenticated attackers to delete arbitrary files on Logsign Unified SecOps Platform servers, potentially leading to data loss or system compromise.
You are affected if you are running Logsign Unified SecOps Platform versions 6.4.20–6.4.20. Upgrade to 6.4.23 or later to mitigate the risk.
Upgrade Logsign Unified SecOps Platform to version 6.4.23 or later. Implement temporary workarounds like restricting API access and file access controls if an immediate upgrade is not possible.
There is no confirmed active exploitation of CVE-2024-7601 at this time, but the vulnerability's simplicity suggests potential for exploitation.
Refer to the Logsign security advisory for detailed information and updates regarding CVE-2024-7601: [https://www.logsign.com/security-advisory/](https://www.logsign.com/security-advisory/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.