Güvenlikte Bu Hafta: F5 Twitter PoC, Sertifikalı ve Cloudflare Sayfaları Pwned


F5’in BIG-IP platformunda Uzaktan Kod Yürütme (RCE) güvenlik açığı vardır: CVE-2022-1388. Bu ilginç, çünkü bir Kavram Kanıtı (PoC) yamadan hızla tersine çevrildi ve diğer yerlerin yanı sıra Twitter’da yayınlandı.

HORIZON3.ai araştırmacısı [James Horseman] yazdı konuyu güzel bir şekilde özetleyen bir açıklayıcı. Kullanıcı kimlik doğrulaması, biri Takılabilir Kimlik Doğrulama Modülleri (PAM) modülü ve diğeri dahili olarak bir Java sınıfında olmak üzere birden çok katman tarafından gerçekleştirilir. Pratikte bu, PAM modülünün bir X-F5-Auth-Token, isteği Java koduna iletir ve ardından jetonun orijinal olduğunu onaylamak için doğrular. Java hizmetine bu başlık olmadan bir istek gelirse ve bunun yerine X-Forwarded-Host başlık localhost olarak ayarlanırsa, istek kimlik doğrulaması yapılmadan kabul edilir. F5 kimlik doğrulama şeması saf değildir ve X-F5-Auth-Token başlık PAM tarafından kontrol edilir ve kimlik doğrulama kontrol edilmezse bırakılır.

Peki baypasa izin veren kıpırdatma odası nerede? Yine başka bir HTTP başlığı, Connection başlık. Normalde bu sadece iki çeşitte gelir, Connection: close ve Connection: keep-alive. Aslında bu başlık, istemci ile uç proxy arasındaki bağlantıyı açıklayan bir ipucudur ve Bağlantı başlığının içeriği, bir proxy tarafından kaldırılacak diğer başlıkların listesidir. Esasen, yalnızca internet üzerinden bağlantı için geçerli olan başlıkların listesidir.

Şimdi, bu kullanım biraz belirsiz. Çeşitli proxy’ler bunu destekliyor, ancak görünüşe göre herkes bu davranışa aşina değil, çünkü F5 ters proxy gerçekten de onu onurlandırdı. Connection başlığı çıkardı ve X-F5-Auth-Token. Elbette PAM modülü isteği işledikten sonra. Son yapboz parçası, Host oluşturmak için proxy tarafından kullanılan başlık X-Forwarded-Host başlık.

Böylece PAM, Auth başlığını görür ve yetkilendirme kontrolü yapmadan isteği Java servisine iletir. Ters proxy görür Connection başlık ve onu ve Auth başlığını çıkarır. Daha sonra Ana Bilgisayar başlığını yeniden yazar. X-Forwarded-Host. Ve son olarak, arka uç, yerel ana bilgisayardan gelen bir Yetkilendirme başlığı olmadan isteği alır. X-Forwarded-Host, bu yüzden kimlik doğrulaması olmadan kabul eder. Üç özel HTTP başlığı ayarlayın ve kimlik doğrulamayı atlayabilirsiniz. Ah!

Active Directory Sertifikalı

Ah, Aktif Dizin. Bu zaman, AD’nin ortak anahtar sertifikaları aracılığıyla kimlik doğrulama desteğidir. AD, etki alanındaki kullanıcılar ve makineler için sertifikalar dağıtabilir. Bu ikisi arasındaki fark, kullanıcıların bir Kullanıcı Asıl Adına (UPN) sahip olmaları ve makinelerin bir dNSHostName isim. UPN’nin katı bir benzersizlik gereksinimi vardır, ancak dNSHostName garip bir şekilde böyle bir zorunluluğu yoktur. Aynı şekilde bir makine hesabı ayarlayabilir misiniz? dNSHostName etki alanı denetleyicisi olarak ve ne olur?

Hesapta birkaç ince ayar yaptıktan sonra, evet, gerçekten de bir makine hesabını etki alanı denetleyicisiyle eşleşecek şekilde yeniden adlandırabilirsiniz. Yeniden adlandırılan bu hesap için bir PKI sertifikası isteyin ve aniden altın bir biletiniz olsun – etki alanının geri kalanı denetleyici olduğunuzu düşünüyor. Bu, Mayıs 2022 güncellemelerinde düzeltildi.

TLStorm 2

Aruba veya Avaya donanımını mı çalıştırıyorsunuz? Donanım yazılımı güncellemelerini kontrol etme zamanı, Armis az önce TLStorm 2 açıklamasını yayınladı. APC pil yedeklemelerinde bulunan önceki sorunlara benzer. Bir kez daha, nanoSSL kitaplığı cihaz bellenimine gömülüdür ve hem kitaplıkta hem de entegrasyonda kusurlar vardır. Her iki markada da kusurlar ön auth RCE’ye izin veriyor, ancak neyse ki bu arayüzler normalde açık internete maruz kalmıyor.

Cloudflare Sayfaları

Assetnote’taki araştırmacılar Cloudflare Sayfalarına bir göz attıCloudflare’ın kullanıcıların Github/Gitlab deposundan kod aldığı, kodu Cloudflare altyapısında çalıştırdığı ve ardından sonuçları rastgele derleme komutları çalıştırarak barındırdığı bir sürekli dağıtım platformu – kesinlikle bu bir şekilde yanlış gidebilir.

Neyse ki sayfalar, derlemeyi çalıştırmak için isteğe bağlı derleme komutları belirlememize izin veriyor. Doğal olarak, web sitemiz ters bir kabuk oluşturacak.

Bu ters kabuk işe yaradı ve araştırmacılara kapıdan içeri adım attı. Süreci, Bayrağı Yakala (CTF) yarışmasına çok benzer olarak tanımlıyorlar. Yakalanan ilk bayrakları, derleme ortamında kök olarak keyfi komutları çalıştırma yeteneğiydi. Derleme komut dosyası bir mv argümanı olarak yapı yolu ile komut. Bu çok kolay, noktalı virgül eklenmesi bir komutu çalıştırmayı kolaylaştırır: f;env>/tmp/bar.txt;echo

Tek sorun, yapıyı çalıştırmadan önce dizinin var olduğundan emin olmak için yolun doğrulanmasıdır. Komut aynı zamanda geçerli bir dizin adı olduğu için gerçekten sorun değil: mkdir -p ‘f;env>/tmp/bar.txt;echo’ Bu, yapıdaki ortam değişkenlerini boşalttı ve veriler arasında bir GitHub özel anahtarı vardı. Bu anahtar tüm derlemeler için kullanıldı, yani diğer Cloudflare Pages kullanıcılarının 18290 kullanıcı havuzunun tümüne erişim sağladı. Yazıda açıklanan daha fazla “bayrak” var, hikayenin geri kalanı için gidip kontrol edin.

Cloudflare, hata raporlarına takdire şayan yanıt verdi, rapor edilen tüm güvenlik açıklarının kavram istismarının kanıtı için günlüklerinde kanıt bulma. Her istismar için sağlam Uzlaşma Göstergelerine (IoC) sahip olduklarında, gerçek kötü niyetli istismar belirtileri için günlüklerini didik didik aradılar. Tüm bu hatalar için, tek isabet araştırma ile ilişkilendirildi. Keşfedilen son hata olan açık bir Kubernetes API bağlantı noktasının erişilebilir bir IoC’si yoktu, bu nedenle Cloudflare müşterilere soruna maruz kalmış olabilecek bir bildirim gönderdi. Aferin!

Bitler ve Baytlar

Ransomware yeni bir kurban olduğunu iddia etti, Illinois’deki Lincoln Koleji. Pandemiden sonra okul geri dönerken, Aralık 2021’de sistemleri bir fidye yazılımı saldırısına uğradı. Tüm temel sistemler yaklaşık üç ay hizmet dışı kaldı ve restore edildikten sonra okulun artık finansal olarak sürdürülebilir olmadığı anlaşıldı. . Fidye yazılımı bir üniversiteyi öldürdü. Batmasına izin ver.

Trend Mikro Sonunda yanlış Microsoft’un tarayıcısını kötü amaçlı yazılım olarak sınıflandırdı. Birden çok Trend Micro müşterisi, bir Microsoft Edge dosyasının, msedge_200_percent.pak kötü amaçlı yazılım olarak işaretleniyordu. Hata düzeltildi ve Trend Micro, yanlış pozitiften kaynaklanan olası hasarı temizlemeye yardımcı olacak bir komut dosyası yayınladı.

Cisco’nun NFVIS sanallaştırma platformu, yeni duyurulan ve yamalanan ciddi sorunlar topluluğu. En kötüsü, bir saldırganın hiper yöneticiye kök erişimi sağlamasına izin veren bir VM kaçışıdır. Ayrıca oldukça ciddi olan bir çift enjeksiyon güvenlik açığı var. NFVIS altyapınızın bir parçasıysa, devam edin ve güncelleyin!




Kaynak : https://hackaday.com/2022/05/13/this-week-in-security-f5-twitter-poc-certifried-and-cloudflare-pages-pwned/

Yorum yapın