CVE-2024-4358

Суть уязвимости

CVE-2024-4358 представляет собой критическую уязвимость обхода авторизации (Authentication Bypass) в Progress Telerik Report Server версий до 2024 Q2 (10.1.24.514). Уязвимость возникает из-за недостаточной проверки прав доступа при обработке специфических запросов, что позволяет злоумышленнику подделать личность пользователя (spoofing) и получить несанкционированный административный доступ к серверу отчетов. В сочетании с другими уязвимостями (например, CVE-2024-4357) это может привести к удаленному выполнению произвольного кода (RCE).

Как исправить

Основным и рекомендуемым способом устранения уязвимости является обновление продукта до актуальной защищенной версии.

1. Скачайте обновленный установщик Progress Telerik Report Server (версия 2024 Q2 10.1.24.514 или выше) из личного кабинета Telerik.
2. Создайте резервную копию базы данных Report Server и конфигурационных файлов (web.config).
3. Запустите процесс обновления.

Для проверки текущей версии через PowerShell:

(Get-Item "C:\Program Files (x86)\Progress\Telerik Report Server\Telerik.ReportServer.Web.dll").VersionInfo.FileVersion

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие меры для снижения риска эксплуатации:

1. Ограничьте доступ к панели управления Report Server на сетевом уровне (Firewall/ACL), разрешив подключения только с доверенных IP-адресов администраторов.
2. Настройте аутентификацию на уровне веб-сервера IIS (например, IP Address and Domain Restrictions).
3. Проверьте список пользователей в системе на наличие подозрительных учетных записей, созданных в период потенциальной компрометации.
4. Включите расширенное логирование IIS для отслеживания аномальных POST-запросов к эндпоинтам управления.

Для быстрой проверки подозрительной активности в логах IIS (поиск обращений к ресурсам настройки):

Select-String -Path "C:\inetpub\logs\LogFiles\W3SVC1\*.log" -Pattern "Startup/Register"