BigAnt Server 0-Day Vulnerability: Ejecución de Código Arbitrario a Través de Subidas de Archivos PHP
Una vulnerabilidad crítica de día cero (CVE-2025-0364) en BigAnt Server, desarrollado por BigAntSoft, permite a atacantes no autenticados ejecutar código arbitrario en sistemas afectados. Este fallo explota una cadena de abusos en el registro de SaaS y subidas de archivos PHP, lo que compromete la seguridad de las versiones ≤5.6.06 de esta plataforma de chat empresarial basada en Windows.
Descubrimiento y Alcance de la Vulnerabilidad
La vulnerabilidad fue descubierta por investigadores de VulnCheck durante un análisis de una puntuación CVSS mal calificada para CVE-2024-54761. El problema radica en un portal de registro SaaS habilitado por defecto en la ruta /index.php/Home/Saas/reg_email.html
, que permite la creación de cuentas organizacionales tras resolver un desafío CAPTCHA básico.
Los atacantes pueden aprovechar este portal para crear cuentas administrativas vinculadas a organizaciones SaaS controladas por ellos. Durante el proceso de registro, se exponen variables de sesión críticas a través de puntos finales de depuración, como /index.php/Addin/login/index.html
, lo que permite la extracción de UUIDs necesarios para la activación de SaaS.
Cadena de Explotación
El proceso de explotación consta de varios pasos técnicos:
- Recolección de CAPTCHA mediante
/index.php/Home/Public/verify
. - Registro de una organización SaaS con privilegios administrativos.
- Fijación de sesión mediante manipulación de cookies.
- Fuga de UUIDs a través de puntos finales de depuración.
- Activación de SaaS utilizando el parámetro
saas_id
manipulado. - Autenticación en Cloud Drive usando credenciales administrativas predeterminadas.
- Subida de un payload PHP a
/index.php/addin/public/load/clientid/1.html
. - Ejecución no autenticada del shell malicioso en
/data/{UUID}/pan/{PATH}/malicious.php
.
Este proceso otorga al atacante privilegios de nivel NT AUTHORITY\SYSTEM
, lo que representa un riesgo significativo para los sistemas afectados.
Deficiencias Arquitectónicas
La vulnerabilidad surge de múltiples fallos en el diseño y configuración del sistema:
- Configuraciones Inseguras por Defecto: El portal de registro SaaS permanece activo sin endurecimiento post-instalación, utilizando credenciales predecibles (admin/registration password) para acceder a Cloud Drive.
- Gestión Deficiente de Sesiones: La función
sp_saas_id()
ensite.php
expone UUIDs a través de páginas de demostración de API no autenticadas, permitiendo el secuestro del contexto SaaS. - Subidas de Archivos Sin Restricciones: El módulo Cloud Drive (
Application/Addin/Controller/CloudController.class.php
) carece de validación de tipos de archivo, permitiendo la ejecución directa de archivos PHP en la rutaC:\Program Files (x86)\BigAntSoft\IM Console\im_webserver\htdocs\data
.
Mitigaciones Recomendadas
Hasta marzo de 2025, BigAntSoft no ha emitido un parche oficial. Las organizaciones afectadas deben implementar las siguientes medidas:
- Deshabilitar el registro SaaS mediante reglas de reescritura en Apache/Nginx.
- Implementar reglas WAF para bloquear subidas de archivos PHP en rutas como
/data/*/pan/
. - Auditar entradas en la tabla
sys_saas
para detectar organizaciones no autorizadas. - Monitorear la creación de procesos para identificar la ejecución de
php-cgi.exe
ocmd.exe
.
Implicaciones y Reflexiones Finales
Este caso resalta la importancia de revisar las puntuaciones CVSS, ya que la vulnerabilidad original (CVE-2024-54761) requería acceso administrativo, mientras que este exploit opera sin autenticación. Además, subraya la necesidad de endurecer configuraciones predeterminadas y validar adecuadamente las entradas de usuario en aplicaciones críticas.
Para más detalles sobre esta vulnerabilidad, consulta la fuente original.