• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

费德利斯网络欺骗设备出现五个漏洞


Recommended Posts

crop_data_80.jpg

做一个优秀的网络安全人其实并不容易,因为我们要不断尝试平衡可用性、安全性和隐私性。如果增加了过多的安全性,用户会抱怨他们的许多功能受到限制,以至于无法完成工作。如果安全防护不够,你会在网上被黑客攻击。此外,还要考虑如何将用户隐私纳入安全保护。但作为网络保护者,保护网络免受黑客攻击的第一个想法可能是实施某种形式的网络流量检查。这在20年前可能行得通,但现在大多数网络协议至少支持某种形式的加密,以保护用户的数据不被窃取。如果有办法解密,校验,再加密回去,我们称之为破解校验。

1.png

上图来自美国国家安全局的一篇文章,警告破解和检查带来的风险及其使用(我倾向于关注警告,因为NSA可能是这一特定主题的专家)。由破解和检查引入的最明显的风险显然是执行解密和检查的设备。这些攻击设备将使攻击者能够通过网络访问所有未加密的流量。

经过多年的评估,有一天我注意到,现在所有出站Web流量在访问网站时都有一个自定义的CA证书。作为回应,网络防御人员实施了破解和检查,以识别具有冲突HTTP主机报头的流量。作为红队的一员,我的第一个想法是,如果我们能进入破解和检查设备呢?能够屏蔽大型网络上所有未加密的网络流量对攻击者来说将是一座金矿。

枚举

经过很长一段时间,我们在网络上确定了我们认为负责破解和检查的设备。在同一个子网中,我们发现BigIP F5设备、费德利斯网络CommandPost和几个HP iLO管理web服务被列为CA证书的主机名。对于那些不熟悉的,费德利斯网络安全公司出售一套网络设备,可以执行流量检查和修改。它们也恰好被美国国家安全局推荐的国家信息保障合作伙伴(NIAP)网站的认证产品收录,所以我觉得超级安全。

2.png

第一项任务是对该网段中的设备进行一些基本的枚举。F5最近在发布了一个RCE漏洞后进行了更新,所以我继续前进。费德利斯CommandPost web应用程序在根URL提供了一个基于CAS的登录门户,如下所示。

3.png

在对CAS和一个相当成熟且广泛使用的身份验证库做了一些研究之后,我决定在CommandPost web应用程序上启动强制终端和定向搜索。在操作过程中,我转向惠普iLO,看看我们在那里有什么。

4.jpg

关于这个特定的iLO终端,我首先想到的是它是惠普的,显示的版本低于2.53。这很有趣,因为几年前发现了一个基于堆的BOF漏洞(CVE-2017-12542),它可以用来创建一个新的特权用户。

漏洞利用——HP iLO (CVE-2017-12542)

CVE-2017-12542是CVSS 9.8的高分漏洞,利用条件简单,危害大。在过去的十年中,iLO已经成为嵌入几乎所有惠普服务器的服务器管理解决方案。它通过远程管理为系统管理员提供所需的功能。包括电源管理、远程系统控制台、远程CD/DVD映像安装等。HPE集成无人值守4(iLO 4)中存在允许未经身份验证的远程攻击者绕过身份验证并执行任意代码的漏洞。

当我的扫描器还在CommandPost上枚举终端时,我继续启动I。

LO 漏洞利用以确认目标是否实际上可被利用。果然,我能够创建一个新的admin用户和登录名。

5.png

现在,我们将拥有访问某个未知 Web 服务器的 iLO Web 管理门户的特权。除了获取一些服务器统计信息并能够打开和关闭服务器之外,从攻击者的角度来看,我们还能做些什么?首先,我们可以利用远程控制台功能。HP iLO 实际上有两种方法可以做到这一点,一种是通过 Java Web 从 Web 界面启动,另一种是通过 SSH(共享 Web 界面的凭证)。

通过Java加载该iLO的远程控制台表明,该服务器实际上是一个Fidelis Direct Sensor设备。访问远程控制台本身并不是非常有用,因为你仍然需要凭证才能登录到服务器。然而,当你打开Java web启动远程控制台时,你会注意到一个菜单,上面写着“虚拟驱动器”。这个菜单允许你远程挂载你选择的ISO。

6.png

远程安装自定义 ISO 的能力为代码执行引入了可能的途径。如果目标服务器没有 BIOS 密码并且没有使用全盘加密,我们应该能够引导到我们远程提供的 ISO 并访问服务器的文件系统。这种技术绝对不是微妙的,因为我们必须关闭服务器,但如果停机时间很短,系统所有者可能不会注意到。

如果你正在阅读这篇文章,那么很有可能试图通过某种代理/C2通信在操作过程中实现这一点,而不是位于同一个网络上的一个系统上。这使得ISO的选择非常重要,因为网络带宽有限。尽可能小的活动CD映像是理想的。我最初尝试了30MB的TinyCore linux,但最终选择了300mb的Puppy linux,因为它提供了更多的开箱即用的功能。安装完操作系统后,我安装了文件系统并确认了对关键文件的访问。

7.png

因为设备启用了SSH,所以我认为最容易造成危害的机制是简单地将SSH公钥添加到根用户的授权密钥文件。“sshd_config”也需要更新,以允许根用户登录并启用公钥身份验证。

漏洞利用——未经身份验证的远程命令注入 (CVE-2021-35047)

在通过SSH初步访问Fidelis Direct传感器设备后,我开始查看设备上托管的服务,并调查它正在与哪些其他系统通信。我注意到的第一件事是,有很多连接从rconfigc进程返回到端口5556上的Fidelis CommandPost设备。我还注意到一个rconfigd进程在监听传感器,我假设这是某种点对点客户端/服务器设置。

分析 rconfigc/rconfigd 二进制文件显示它们是一个自定义的远程脚本执行框架。该框架由一个简单的基于 TLS 的客户端/服务器应用程序组成,该应用程序主要由不同权限级别的 Perl 脚本支持,使用硬编码的身份验证。我查看了其中的几个脚本,发现了以下代码片段。

8.png

如果你还没有发现这里的漏洞,那么Perl中的这些反勾号意味着在后台执行命令。由于没有对用户变量的输入进行检查,因此可以通过添加单引号和分号来执行其他命令。这个命令的另一个好处是,它是作为根用户运行的,所以我们有自动特权升级。我决定在Fidelis CommandPost远程测试它,以确认它确实有效。

9.jpg

漏洞利用——未经身份验证的远程 SQL 注入 (CVE-2021-35048)

回到Fidelis CommandPost web应用程序,我发现了一些值得研究的有趣的终端。虽然大多数都需要身份验证,但我发现有两个本来接受XML但其实并没有接受的情况。在尝试了几个不同的负载后,我设法从一个请求的输出中返回了一个SQL漏洞。

10.png

漏洞利用——不安全的凭证存储 (CVE-2021-35050)

使用上面确定的 SQL 注入漏洞,我继续转储 CommandPost 数据库。我的目标是找到一种对 Web 应用程序进行身份验证的方法。我发现的是一个存储称为 UID 的条目的表。这些十六进制编码的字符串原来是可逆加密机制的产物,该机制对通过连接用户名和密码创建的字符串进行了加密。解密此值将返回可用于登录 Fidelis Web 应用程序的凭证。

漏洞利用——经过身份验证的远程命令注入 (CVE-2021-35049)

通过解密数据库中的根证书,我对web应用程序进行了身份验证,并开始在扩展范围中搜索新的漏洞。经过一段时间的模糊处理,以及我之前访问的帮助,我发现了一个命令注入漏洞,可以从web应用程序被触发。

11.png

将此漏洞与上述的每个漏洞联系起来,我就能够创建一个漏洞利用,该漏洞可以通过未经身份验证的 CommandPost Web 会话跨任何托管 Fidelis 设备执行根级别命令。

数据滥用

现在,我们可以对一套工具进行根级别访问,这些工具可以捕获和修改整个企业的网络流量。现在是时候改变策略,开始研究这些设备提供了什么功能,以及攻击者可能如何滥用这些功能。在浏览 CommandPost Web 应用程序终端并在设备上执行一些最小系统枚举之后,我觉得我掌握了系统如何协同工作的原理。有 3 种设备类型,CommandPost、传感器和收集器。传感器收集、检查和修改流量。收集器存储数据,CommandPost 提供用于管理设备的 Web 界面。

鉴于每个设备的角色,我认为攻击者最感兴趣的目标必须是传感器。如果传感器可以拦截(并可能修改)传输中的流量,攻击者可以利用它来控制网络。为了证实这一理论,我登录到一个传感器并开始搜索执行此操作所需的软件和服务。我首先尝试识别数据将要遍历的网络接口。令我惊讶的是,唯一显示为“启动”的界面是我登录的 IP 地址。

12.png

如上所述,我猜测流量很可能通过一个编号较高的接口。现在我只需要弄清楚为什么它们对根用户不可见。在搜索完日志之后,我发现了以下的线索。

13.png

它似乎是一个自定义驱动程序被加载来管理接口负责网络流量监控。因为基本的操作系统是CentOS,它一定是把它们安装在某种安全容器中,限制了对设备的访问,这就是为什么我看不到它。在深入研究驱动程序和与之相关的一些进程之后,我发现该软件使用libpcap和文件支持内存中的环形缓冲区来拦截要检查/修改的网络流量。这意味着要访问流经设备的所有流量,我们所要做的就是读取环形缓冲区中的文件并解析原始网络数据包。短时间运行这个脚本就证实了我们的理论。我们很快注意到 Microsoft 0365、Gmail 甚至股票交易平台等主要网站的常见身份验证流程。坦白地说,Fidelis传感器的泄露意味着攻击者可以不受限制地访问所有未加密的凭证、PII和退出被监视网络的敏感数据。

14.png

考虑到我们的发现所带来的影响,以及可能对这些设备造成的危害,完成了评估后,立即联系了客户和供应商,开始了披露过程。漏洞披露后,供应商在合理的时间框架内修复和修补了漏洞。鉴于这些漏洞的严重性,我们强烈建议任何拥有Fidelis Network & Deception设备的用户立即更新到最新版本。

Link to comment
Share on other sites