BigAnt Server 0-Day Vulnerability: Ejecución de Código Arbitrario a Través de Subidas de Archivos PHP
Una vulnerabilidad crítica de día cero (CVE-2025-0364) en BigAnt Server, desarrollado por BigAntSoft, permite a atacantes no autenticados ejecutar código arbitrario en sistemas afectados. Este fallo explota una cadena de abusos en el registro de SaaS y subidas de archivos PHP, lo que compromete la seguridad de las versiones ≤5.6.06 de esta plataforma de chat empresarial basada en Windows.
Descubrimiento y Alcance de la Vulnerabilidad
La vulnerabilidad fue descubierta por investigadores de VulnCheck durante un análisis de una puntuación CVSS mal calificada para CVE-2024-54761. El problema radica en un portal de registro SaaS habilitado por defecto en la ruta /index.php/Home/Saas/reg_email.html, que permite la creación de cuentas organizacionales tras resolver un desafío CAPTCHA básico.
Los atacantes pueden aprovechar este portal para crear cuentas administrativas vinculadas a organizaciones SaaS controladas por ellos. Durante el proceso de registro, se exponen variables de sesión críticas a través de puntos finales de depuración, como /index.php/Addin/login/index.html, lo que permite la extracción de UUIDs necesarios para la activación de SaaS.
Cadena de Explotación
El proceso de explotación consta de varios pasos técnicos:
- Recolección de CAPTCHA mediante
/index.php/Home/Public/verify. - Registro de una organización SaaS con privilegios administrativos.
- Fijación de sesión mediante manipulación de cookies.
- Fuga de UUIDs a través de puntos finales de depuración.
- Activación de SaaS utilizando el parámetro
saas_idmanipulado. - Autenticación en Cloud Drive usando credenciales administrativas predeterminadas.
- Subida de un payload PHP a
/index.php/addin/public/load/clientid/1.html. - Ejecución no autenticada del shell malicioso en
/data/{UUID}/pan/{PATH}/malicious.php.
Este proceso otorga al atacante privilegios de nivel NT AUTHORITY\SYSTEM, lo que representa un riesgo significativo para los sistemas afectados.
Deficiencias Arquitectónicas
La vulnerabilidad surge de múltiples fallos en el diseño y configuración del sistema:
- Configuraciones Inseguras por Defecto: El portal de registro SaaS permanece activo sin endurecimiento post-instalación, utilizando credenciales predecibles (admin/registration password) para acceder a Cloud Drive.
- Gestión Deficiente de Sesiones: La función
sp_saas_id()ensite.phpexpone UUIDs a través de páginas de demostración de API no autenticadas, permitiendo el secuestro del contexto SaaS. - Subidas de Archivos Sin Restricciones: El módulo Cloud Drive (
Application/Addin/Controller/CloudController.class.php) carece de validación de tipos de archivo, permitiendo la ejecución directa de archivos PHP en la rutaC:\Program Files (x86)\BigAntSoft\IM Console\im_webserver\htdocs\data.
Mitigaciones Recomendadas
Hasta marzo de 2025, BigAntSoft no ha emitido un parche oficial. Las organizaciones afectadas deben implementar las siguientes medidas:
- Deshabilitar el registro SaaS mediante reglas de reescritura en Apache/Nginx.
- Implementar reglas WAF para bloquear subidas de archivos PHP en rutas como
/data/*/pan/. - Auditar entradas en la tabla
sys_saaspara detectar organizaciones no autorizadas. - Monitorear la creación de procesos para identificar la ejecución de
php-cgi.exeocmd.exe.
Implicaciones y Reflexiones Finales
Este caso resalta la importancia de revisar las puntuaciones CVSS, ya que la vulnerabilidad original (CVE-2024-54761) requería acceso administrativo, mientras que este exploit opera sin autenticación. Además, subraya la necesidad de endurecer configuraciones predeterminadas y validar adecuadamente las entradas de usuario en aplicaciones críticas.
Para más detalles sobre esta vulnerabilidad, consulta la fuente original.
