Rapid7 Velociraptor позволяет создавать пользователей с разными привилегиями на сервере. Администраторам обычно разрешено выполнять любую к…

Rapid7 Velociraptor позволяет создавать пользователей с разными привилегиями на сервере. Администраторам обычно разрешено выполнять любую команду на сервере, включая запись произвольных файлов. Однако пользователям с более низкими привилегиями обычно запрещено записывать или изменять файлы на сервере. Функция VQL copy() применяет проверки разрешений для чтения файлов, но не проверяет разрешение на запись файлов. Это позволяет пользователю с низкими привилегиями (обычно пользователи с ролью Velociraptor "следователь") перезаписывать файлы на сервере, включая файлы конфигурации Velociraptor. Чтобы использовать эту уязвимость, злоумышленник должен уже иметь учетную запись пользователя Velociraptor с низким уровнем привилегий (по крайней мере, "аналитик") и иметь возможность войти в графический интерфейс и создать блокнот, где он может запустить запрос VQL, вызывающий функцию VQL copy(). Как правило, большинство пользователей развертывают Velociraptor с ограниченным доступом к доверенной группе (большинство пользователей будут администраторами в графическом интерфейсе). Эта уязвимость связана с файлами программы https://github.Com/Velocidex/velociraptor/blob/master/vql/filesystem/copy.go https://github.Com/Velocidex/velociraptor/blob/master/vql/filesystem/copy.go и подпрограммами программы copy(). Эта проблема затрагивает версии Velociraptor до 0.6.7-5. Версия 0.6.7-5, выпущенная 16 января 2023 г., устраняет эту проблему.