Octopus Deploy Server/Tentacle Agent bis 4.0.977 OctopusDSC schwache Verschlüsselung

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
4.7$0-$5k0.05

In Octopus Deploy Server sowie Tentacle Agent bis 4.0.977 wurde eine problematische Schwachstelle gefunden. Dabei geht es um ein unbekannter Prozess der Komponente OctopusDSC. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-319. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:

OctopusDSC is a PowerShell module with DSC resources that can be used to install and configure an Octopus Deploy Server and Tentacle agent. In OctopusDSC version 4.0.977 and earlier a customer API key used to connect to Octopus Server is exposed via logging in plaintext. This vulnerability is patched in version 4.0.1002.

Die Schwachstelle wurde am 23.01.2021 an die Öffentlichkeit getragen. Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 22.12.2020 mit CVE-2021-21270 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1552.

Ein Upgrade auf die Version 4.0.1002 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

Produktinfoedit

Hersteller

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 4.9
VulDB Meta Temp Score: 4.7

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 5.5
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Schwache Verschlüsselung
CWE: CWE-319
ATT&CK: T1552

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Deploy Server/Tentacle Agent 4.0.1002
Patch: github.com

Timelineinfoedit

22.12.2020 CVE zugewiesen
23.01.2021 +32 Tage Advisory veröffentlicht
23.01.2021 +0 Tage VulDB Eintrag erstellt
19.02.2021 +27 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Advisory: github.com
Status: Bestätigt
Bestätigung: 🔒

CVE: CVE-2021-21270 (🔒)

Eintraginfoedit

Erstellt: 23.01.2021 10:21
Aktualisierung: 19.02.2021 13:59
Anpassungen: (19) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai source_cve_cna vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍

Kommentare

Interested in the pricing of exploits?

See the underground prices here!