Güvenlik Açığı Özeti

MyLittleAdmin, MS SQL Server için özel olarak tasarlanmış web tabanlı bir yönetim aracıdır. Tamamen MS SQL Server ile çalışır. Ürün üretilmiyor gibi görünse de (2013'ten beri yeni sürüm yok) hala şirketin web sitesinde ve isteğe bağlı Plesk kurulumunun bir parçası olarak sunuluyor. Ayrıca, internette çok sayıda aktif kurulum mevcuttur. Üründeki kimliği doğrulanmamış bir RCE güvenlik açığı, uzak saldırganların IIS uygulama motoru bağlamında rasgele komutlar yürütmesine olanak tanır.

Etkilenen Sistemler

MyLittleAdmin sürüm 3.8, eski sürümlerin de etkilendiğinden şüpheleniyoruz ancak doğrulamanın bir yolu yok.

Windows tabanlı hosting kontrol panelleri hızlı bir şekilde kaldırılması yönünde tüm hosting kontrol panellerine uyarı gönderdi

Örnek: 

MyLittleAdmin kuruluysa, kimliği doğrulanmamış bir uzak saldırgan IUSRPLESK_sqladmin adına rasgele kod çalıştırabilir.

Çözüm 

Kurulu eklentiyi hemen kaldırmanız.

Aşağıdaki kaynaklardan problem hakkında daha fazla bilgi edinebilirsiniz.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13166
https://ssd-disclosure.com/ssd-advisory-mylittleadmin-preauth-rce/
https://support.plesk.com/hc/en-us/articles/360013996240