Detectan dos defectos críticos de RCE sin parchar en rConfig



Si está utilizando la popular utilidad de administración de configuración de red rConfig para proteger y administrar sus dispositivos de red, aquí tenemos una advertencia importante y urgente para usted.
Un investigador de ciberseguridad ha publicado recientemente detalles y exploits de prueba de concepto para dos vulnerabilidades de ejecución de código remoto críticas y sin parches en la utilidad rConfig, al menos una de las cuales podría permitir que atacantes remotos no autenticados comprometan servidores específicos y dispositivos de red conectados.
Escrito en PHP nativo, rConfig es una utilidad gratuita de gestión de configuración de dispositivos de red de código abierto que permite a los ingenieros de red configurar y tomar instantáneas de configuración frecuentes de sus dispositivos de red.

Según el sitio web del proyecto, rConfig se está utilizando para administrar más de 3,3 millones de dispositivos de red, incluidos conmutadores, enrutadores, cortafuegos, balanceadores de carga y optimizadores WAN.
¿Qué es más preocupante? Ambas vulnerabilidades afectan a todas las versiones de rConfig, incluida la última versión de rConfig 3.9.2, sin parche de seguridad disponible.

Descubierto por Mohammad Askar , cada falla reside en un archivo separado de rConfig: uno, rastreado como CVE-2019-16662, puede explotarse de forma remota sin requerir autenticación previa, mientras que el otro, rastreado como CVE-2019-16663, requiere autenticación antes su explotación


  • RCE no autenticado (CVE-2019-16662) en ajaxServerSettingsChk.php
  • RCE autenticado (CVE-2019-16663) en search.crud.php


En ambos casos, para explotar la falla, todo lo que un atacante debe hacer es acceder a los archivos vulnerables con un parámetro GET malformado diseñado para ejecutar comandos maliciosos del sistema operativo en el servidor de destino.

Las vulnerabilidades de PoC permiten a los atacantes obtener un shell remoto del servidor de la víctima, lo que les permite ejecutar cualquier comando arbitrario en el servidor comprometido con los mismos privilegios que la aplicación web.

Mientras tanto, otro investigador de seguridad independiente analizó las fallas y descubrió que la segunda vulnerabilidad RCE también podría explotarse sin requerir autenticación en las versiones de rConfig anteriores a la versión 3.6.0.

"Sin embargo, después de revisar el código fuente de rConfig, descubrí que no solo rConfig 3.9.2 tiene esas vulnerabilidades sino también todas sus versiones. Además, CVE-2019-16663, el RCE posterior a la autenticación puede explotarse sin autenticación para todas las versiones antes de rConfig 3.6.0 ", dijo el investigador, que usa el alias en línea Sudoka.

Askar informó responsablemente ambas vulnerabilidades a los encargados del mantenimiento del proyecto rConfig hace casi un mes y luego decidió recientemente publicar detalles y PoC públicamente después de que los encargados del mantenimiento no reconocieran o respondieran a sus hallazgos.


https://shells.systems/rconfig-v3-9-2-authenticated-and-unauthenticated-rce-cve-2019-16663-and-cve-2019-16662/