Fortra ha lanzado parches para dos vulnerabilidades en su solución FileCatalyst Workflow, una de las cuales ha sido catalogada como crítica. Esta vulnerabilidad, identificada como CVE-2024-6633 con una puntuación CVSS de 9.8. la cual referencia al mantenimiento de credenciales predeterminadas para el alcceso a la Base de Datos. Lo que podría permitir a un atacante sin autenticación acceder y manipular la base de datos.

Nos centraremos en la vulnerabilidad crítica que ha sido identificado como CVE-2024-6633. Esta vulnerabilidad permite el acceso a las credenciales predeterminadas de la base de datos HSQLDB, una base de datos que ha quedado obsoleta, pero sigue incluida en FileCatalyst Workflow para facilitar la instalación. Si bien Fortra señala que no está destinada para entornos de producción. Si los usuarios no han configurado una base de datos alternativa, esta instancia podría ser vulnerable a ataques, especialmente si el puerto HSQLDB está expuesto a Internet. La vulnerabilidad permitiría a un atacante con acceso a la red y capacidad de escaneo de puertos obtener acceso remoto no autenticado a la base de datos, pudiendo manipular o exfiltrar datos, e incluso crear usuarios administradores, aunque con limitaciones en los niveles de acceso. La base de datos es accesible en remoto por defecto en TCP 4406. Para ello se utilizaría la siguiente url ( jdbc:hsqldb:hsql://:4406/hsqldb), con ello un atacante remoto no autenticado puede acceder a la base de datos utilizando la contraseña por defecto. El problema se agrava aún más ya que los usuarios no pueden cambiar esta contraseña por medios convencionales.

Para mitigar este riesgo se ha limitado el acceso a la base de datos al host local y ha incluido parches en la versión 5.1.7 build 156 de FileCatalyst Workflow. Además, esta actualización aborda otra vulnerabilidad de inyección SQL, identificada como CVE-2024-6632, que también presentaba un alto riesgo al permitir que un atacante con credenciales de superadministrador comprometiera la confidencialidad, integridad y disponibilidad del sistema.

Por parte de la empresa desarrolladora se recomienda a sus clientes actualizar a la versión 5.1.7 build 156 o posterior de FileCatalyst Workflow para protegerse contra estas vulnerabilidades. Hasta el momento, no se ha informado de que estas fallas hayan sido explotadas en ataques.

Más información:

Vulnerability Details : CVE-2024-6633 https://www.cvedetails.com/cve/CVE-2024-6633/
Fortra Patches Critical Vulnerability in FileCatalyst Workflow https://www.securityweek.com/fortra-patches-critical-vulnerability-in-filecatalyst-workflow/
SQL Injection in FileCatalyst Workflow 5.1.6 Build 139 (and earlier) https://www.fortra.com/security/advisories/product-security/fi-2024-010