Jak zalogować się (bez posiadania konta) do VPN-a, którego używa Twitter i masa innych korporacji?

Chodzi o rozwiązanie Pulse Secure SSL VPN, z którego korzystało Google a obecnie korzysta sporo dużych korporacji (np. Twitter) i mniejszych firm.  Badacze znaleźli tu całą serię podatności (w tym wykonanie kodu w OS po uzyskaniu dostępu na VPN-a). Najprostsza do wykorzystania w całej serii jest podatność umożliwiająca czytanie plików z filesystemu urządzenia (bez uwierzytelnienia). Wystarczy wykonać takie żądanie:

https://sslvpn-ip/dana-na/../dana/html5acc/guacamole/../../../../../../etc/passwd?/dana/html5acc/guacamole/

Exploit

Zastanawiać może ciąg: /dana/html5acc/guacamole/  … i słusznie. Urządzenie posiada swego rodzaju whitelistę wyrażeń, które zapewniają dostęp anonimowy. Co dalej? Można np. odczytać plik z identyfikatorami sesji zalogowanych użytkowników i jeśli VPN pozwala na zmieniające się adresy IP w ramach jednej sesji (a tak było np. w przypadku Twittera) – game over – logujemy się na konto danego użytkownika.

Jako bonus można było otrzymać jeszcze dostęp na poziomie systemu operacyjnego, o czym pisaliśmy nieco wcześniej.

–ms