Inclusión de fichero local en Sophos UTM 9
El
investigador Matt Bergin
(@thatguylevel) de
KoreLogic ha descubierto una vulnerabilidad que permite la inclusión
local de
ficheros (LFI,
Local File Inclusion)
en Sophos UTM 9.
Cualquier usuario con permiso de lectura sobre los registros puede leer cualquier archivo del sistema local utilizando una cuenta de usuario con privilegios limitados. Esto puede usarse para leer el fichero de registro 'confd' y obtener privilegios de root a través de su identificador de sesión SID'.
El cliente 'confd' no está permitido para las cuentas de usuarios, pero es posible enumerar un directorio que contiene subdirectorios cuyo nombre son los identificadores de sesión (SID). Se pueden realizar solicitudes de nombres de usuarios, como por ejemplo el usuario admin.
Cualquier usuario con permisos de acceso a la funcionalidad 'Loggin & Reporting' dentro de la aplicación de administración puede leer ficheros del sistema. En la imagen vemos la petición 'POST' que se hace y como está construida, el valor 'SID' corresponde con el usuario admin.
La
función 'start_download()' se carga en el navegador, recibe un parámetro
que es usado para construir la siguiente solicitud 'HTTP
GET'
Al
disponer de los valores 'SID' podemos filtrar los identificadores de
sesión de los usuarios con mayores privilegios, por ejemplo si explotamos esta
vulnerabilidad usando una cuenta de administrador podremos usarla para cambiar
el directorio raíz y las contraseñas de los usuarios
registrados.
Empresa: Sophos
Producto: UTM 9
Versión: 9.410
Plataforma: Embedded Linux
Consecuencias: Fuga de información y salto de restricciones de seguridad
Vector: HTTP
El equipo de Sophos ha lanzado la versión 9.503 que corrige esta vulnerabilidad. Se recomienda actualizar lo más pronto posible.
Cualquier usuario con permiso de lectura sobre los registros puede leer cualquier archivo del sistema local utilizando una cuenta de usuario con privilegios limitados. Esto puede usarse para leer el fichero de registro 'confd' y obtener privilegios de root a través de su identificador de sesión SID'.
El cliente 'confd' no está permitido para las cuentas de usuarios, pero es posible enumerar un directorio que contiene subdirectorios cuyo nombre son los identificadores de sesión (SID). Se pueden realizar solicitudes de nombres de usuarios, como por ejemplo el usuario admin.
Cualquier usuario con permisos de acceso a la funcionalidad 'Loggin & Reporting' dentro de la aplicación de administración puede leer ficheros del sistema. En la imagen vemos la petición 'POST' que se hace y como está construida, el valor 'SID' corresponde con el usuario admin.
 |
| Petición POST |
 |
| Respuesta |
 |
| Petición GET y respuesta |
Empresa: Sophos
Producto: UTM 9
Versión: 9.410
Plataforma: Embedded Linux
Consecuencias: Fuga de información y salto de restricciones de seguridad
Vector: HTTP
El equipo de Sophos ha lanzado la versión 9.503 que corrige esta vulnerabilidad. Se recomienda actualizar lo más pronto posible.
Mas Datos
URL de la publicación:
https://www.korelogic.com/Resources/Advisories/KL-001-2017-020.txt
SecList
http://seclists.org/fulldisclosure/2017/Oct/57
Versión de Sophos UTM 9 actualizada.
https://community.sophos.com/products/unified-threat-management/b/utm-blog/posts/utm-up2date-9-503-released
https://www.korelogic.com/Resources/Advisories/KL-001-2017-020.txt
SecList
http://seclists.org/fulldisclosure/2017/Oct/57
Versión de Sophos UTM 9 actualizada.
https://community.sophos.com/products/unified-threat-management/b/utm-blog/posts/utm-up2date-9-503-released
Fuente: Hispasec
Comentarios
Publicar un comentario