Четвертое место: «Кейген для Fortinet FortiNAC, встраивающий в лицензионный ключ пейлоад root RCE (CVE-2023-22637)»

• 
  Ав­тор: Илья Поляков, Angara Security
  

В этом иссле­дова­нии я изу­чил при­ложе­ние FortiNAC и нашел цепоч­ку дефек­тов и уяз­вимос­тей: облегча­ющая ревер­синг дебаго­вая информа­ция в ском­пилиро­ван­ных клас­сах Java, сла­бая крип­тогра­фия, хра­нимая XSS и инъ­екция команд, поз­воля­ющая соз­дать генера­тор лицен­зион­ных клю­чей, которые пос­ле акти­вации выпол­няют про­изволь­ный код от име­ни супер­поль­зовате­ля на сер­вере при­ложе­ния.

Исследование и эксплуатация

На­чалось всё с деком­пиляции Java-клас­сов при­ложе­ния, что поз­волило получить фак­тичес­ки исходный код (раз­ве что без ком­мента­риев), в том чис­ле име­на локаль­ных перемен­ных, бла­года­ря любез­но оставлен­ной при ком­пиляции отла­доч­ной информа­ции. Код, написан­ный на Java Server Pages, деком­пиляции, разуме­ется, не тре­бовал.

Я про­ана­лизи­ровал механизм про­вер­ки лицен­зион­ных клю­чей и нашел легаси‑фун­кцию. Она про­веря­ет клю­чи в ста­ром фор­мате, осно­ван­ном на уяз­вимой к ревер­сингу сим­метрич­ной крип­тогра­фии.

Та­ким обра­зом уда­лось най­ти воз­можность инъ­екции команд через текст клю­ча.

Се­рий­ный номер зада­ется про­изволь­ной стро­кой внут­ри клю­ча, а это откры­вает воз­можность для экс­плу­ата­ции хра­нимой XSS на сай­те при­ложе­ния.

Генератор лицензионных ключей с полезной нагрузкой

Вывод

Пос­ле ухо­да Fortinet из Рос­сии, внеш­ний зло­умыш­ленник мог вос­поль­зовать­ся тем, что рос­сий­ские ком­пании нуж­дают­ся в прод­лении лицен­зии на FortiNAC. Раз­местив в интерне­те кей­гены, которые соз­давали бы «тро­яни­зиро­ван­ные» лицен­зион­ные клю­чи, он зах­ватил бы сер­веры жертв.

Третье место: «Известная уязвимость в Bitrix и байпас WAF»

• 
  Ав­тор: maledictos
  

Бай­пас­сы, о которых пой­дет речь, про­води­лись в раз­ное вре­мя и при пен­тесте инфраструк­туры раз­ных ком­паний. Общее здесь — наличие оди­нако­вого WAF, пра­вила для которо­го дописы­вались по ходу дела и его в качес­тве обновле­ния получа­ли все кли­енты. То есть пос­ле изме­нения обще­го пра­вила у одно­го кли­ента, дру­гие его тоже получа­ли.

В пер­вый раз все было мак­сималь­но пря­моли­ней­но. Через «1С:Бит­рикс» мож­но было закинуть шелл, исполнить код, получить дос­туп без допол­нитель­ных изме­нений наг­рузки. В общем, делай что душа пожела­ет.

На вто­рой раз мы встре­тили пра­вило для WAF, которое бло­киро­вало конс­трук­ции такого типа:

Ло­гич­ное решение, но от проб­лемы оно не избавля­ет. Жаль, у нас сра­зу не спро­сили, как зак­рыть эту дыру.

Те­перь СЗИ бло­киру­ет с фор­мулиров­кой «Remote code execution» и кра­сивой над­писью.

Мы без проб­лем обош­ли это пра­вило. Нап­ример, сра­бота­ет вот такой код:

Или такой:

Пос­ле сле­дующе­го обновле­ния ока­зались зап­рещены все коман­ды и фун­кции PHP в теле зап­роса. Так­же изме­нили content-type и кое‑что еще. Но на этом прик­лючения вов­се не закон­чились!

Поз­днее у дру­гого заказ­чика мы сно­ва наш­ли Bitrix с той же уяз­вимостью, но на этот раз под защитой СЗИ. Бороть­ся с которой неп­росто, но поп­робовать сто­ило.

Тем более что обходной путь ока­зал­ся очень прос­тым. При помощи по­иско­вика по исто­рии домен­ного име­ни мы наш­ли dev-сайт.

Тут при нажатии «Авто­риза­ция Бит­рикс24» может дис­кло­узнуть­ся основной домен, для которо­го этот «Бит­рикс» покупал­ся.

Даль­ше всё по той же схе­ме: про­вери­ли путь для залив­ки, получи­ли ID сес­сии Bitrix, заг­рузили шелл.

Вы­тас­кива­ем кон­фиг базы дан­ных.

И получа­ем логин и пароль в виде MD5 и бонусом — email.

Под­бира­ем пароль и заходим на глав­ный сайт под адми­ном (или поч­ти). Получа­ется, мы обош­ли WAF? Поч­ти что. Оста­лось толь­ко выпол­нить код, но кноп­ка «Выпол­нить» неак­тивна.

Од­нако мож­но самос­тоятель­но добавить себя в груп­пу адми­нис­тра­торов, дос­таточ­но лишь пос­тавить галоч­ку. Очень удоб­но!

Пос­ле это­го мож­но спо­кой­но исполь­зовать встро­енную фун­кцию исполне­ния кода, а всё потому, что на этом эндпо­инте пра­вила не уста­нов­лены. Вот такой вот «RCE by design»...

Еще воз­никли неболь­шие проб­лемы с выводом резуль­тата выпол­нения скрип­та. Если пер­вый зап­рос не сра­бота­ет, то вывод осталь­ных скрип­тов не отоб­разит­ся, но это мелочи.

Наг­рузка:

Вывод

Здесь мож­но дать сле­дующие рекомен­дации:

• сме­нить все пароли;
  


• об­новить Bitrix до акту­аль­ной вер­сии или отклю­чить уяз­вимый эндпо­инт;
  


• ес­ли не исполь­зует­ся фун­кция исполне­ния кода из UI, уда­лить этот модуль;
  


• при миг­рации сай­та зак­рыть дос­туп к dev-сре­де из интерне­та или зак­рыть ее при помощи СЗИ;
  


• не перено­сить базу дан­ных dev-сре­ды в про­дак­шен‑сре­ду.
  

Второе место: «Reverse shell на Haskell и собственный шифрованный канал связи для обхода актуальной версии антивируса»

• 
  Ав­тор: W0lFreaK
  

В рам­ках одно­го из рабочих про­ектов по внут­ренне­му пен­тесту я обна­ружил на одном из сер­веров воз­можность заг­ружать фай­лы и запус­кать их. Там работа­ла ОС Windows Server. Но, помимо это­го, был уста­нов­лен один из наибо­лее извес­тных анти­виру­сов в акту­аль­ной вер­сии, со све­жими обновле­ниями и с пра­виль­но задан­ными нас­трой­ками (нечас­то такое встре­тишь, вер­но?).

Первые проблемы

Теги: CSS