Plataforma
linux
Componente
zimaos
Corrigido em
1.2.5
Uma vulnerabilidade de acesso arbitrário de arquivos foi descoberta no ZimaOS, um sistema operacional derivado do CasaOS, utilizado em dispositivos Zima e sistemas x86-64 com UEFI. A API do ZimaOS, especificamente o endpoint http://<ZimaServerIP:PORT>/v3/file?token=<token>&files=<file_path>, apresenta uma falha na validação de entrada, permitindo que usuários autenticados leiam arquivos do sistema. Versões afetadas incluem todas anteriores à 1.2.4. A correção para esta vulnerabilidade está disponível na versão 1.2.5.
A exploração bem-sucedida desta vulnerabilidade permite que um usuário autenticado leia arquivos arbitrários no sistema ZimaOS. O impacto mais grave é a capacidade de ler o arquivo /etc/shadow, que contém os hashes de senhas de todos os usuários do sistema. Com acesso a esses hashes, um atacante pode realizar ataques de força bruta ou rainbow table para comprometer as contas de usuário, obtendo acesso privilegiado ao sistema. Além disso, a leitura de outros arquivos de configuração pode revelar informações sensíveis sobre a infraestrutura e a configuração do sistema, facilitando ataques futuros. A vulnerabilidade se assemelha a cenários de exposição de arquivos de configuração que podem levar à escalada de privilégios e comprometimento do sistema.
Esta vulnerabilidade foi divulgada publicamente em 24 de outubro de 2024. A probabilidade de exploração é considerada alta devido à facilidade de exploração e ao impacto potencial. Não há evidências de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas, mas a disponibilidade de um PoC público aumenta o risco de exploração oportunista. A vulnerabilidade não está listada no KEV da CISA até o momento.
Organizations and individuals using ZimaOS, particularly those running it on x86-64 systems with UEFI, are at risk. Shared hosting environments where multiple users share a single ZimaOS instance are particularly vulnerable, as a compromise of one user's account could lead to the exposure of data for all users on the system. Legacy configurations with weak authentication mechanisms are also at increased risk.
• linux / server:
journalctl -u zimaos | grep -i "file access"• linux / server:
ps aux | grep zimaos• generic web:
curl -I http://<Zima_Server_IP:PORT>/v3/file?token=<valid_token>&files=/etc/shadow• generic web:
grep "/etc/shadow" /var/log/nginx/access.logdisclosure
Status do Exploit
EPSS
0.53% (percentil 67%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 1.2.5 do ZimaOS, que corrige a falha na validação de entrada. Se a atualização imediata não for possível, considere as seguintes medidas de mitigação: restringir o acesso à API v3/file através de um firewall ou proxy reverso, implementando regras que bloqueiem solicitações com parâmetros files maliciosos. Monitore os logs do sistema em busca de tentativas de acesso a arquivos não autorizados. Implemente políticas de senhas fortes e autenticação de dois fatores para reduzir o risco de comprometimento de contas, mesmo que os hashes de senhas sejam expostos. Após a atualização, confirme a correção verificando se o endpoint v3/file agora valida corretamente o parâmetro files e impede o acesso a arquivos sensíveis.
Actualizar a una versión parcheada cuando esté disponible. Como no hay una versión parcheada, se recomienda restringir el acceso a la API y monitorear el sistema en busca de accesos no autorizados hasta que se publique una actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-48931 is a HIGH severity vulnerability in ZimaOS versions ≤1.2.4 that allows authenticated users to read arbitrary files, potentially including sensitive system files like /etc/shadow.
You are affected if you are running ZimaOS version 1.2.4 or earlier. Upgrade to version 1.2.5 to mitigate the risk.
Upgrade ZimaOS to version 1.2.5 or later. As a temporary workaround, implement a WAF rule to block suspicious requests to the /v3/file endpoint.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the ZimaOS official website and GitHub repository for the latest security advisories and updates related to CVE-2024-48931.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.