Esta semana en seguridad: F5 Twitter PoC, Certifried y Cloudflare Pages Pwned

La plataforma BIG-IP de F5 tiene una vulnerabilidad de ejecución remota de código (RCE): CVE-2022-1388. Esto es interesante porque la Prueba de concepto (PoC) se diseñó rápidamente a partir del parche y se lanzó en Twitter, entre otros lugares.

Eliminemos CVE-2022-1388 PoC pic.twitter.com/MmyvQGL6eO

- 416e6e61 (@ AnnaViolet20) 9 de mayo de 2022

Explorador HORIZON3.ai [James Horseman] escribió una nota explicativa que resume muy bien el asunto. La autenticación de usuario es manejada por múltiples capas, una es un módulo de Módulos de autenticación conectables (PAM) y la otra es una clase Java en clase. En la práctica, esto significa que si el módulo PAM ve un X-F5-Auth-Token, transmite la solicitud al código Java, que luego valida el token para confirmarlo como auténtico. Si llega una solicitud al servicio de Java sin este encabezado y, en su lugar, el X-Forwarded-Host el encabezado se establece en localhost, la solicitud se acepta sin autenticación. El esquema de autenticación F5 no es ingenuo y solicita sin la X-F5-Auth-Token PAM verifica el encabezado y lo elimina si no se verifica la autenticación.

Entonces, ¿dónde está la sala de oscilación que permite el desvío? Otro encabezado HTTP más, el Connection encabezamiento. Normalmente esto solo viene en dos variedades, Connection: close y Connection: keep-alive. En realidad, este encabezado es una sugerencia que describe la conexión entre el cliente y el encabezado del proxy, y el contenido del encabezado Connection es la lista de otros encabezados que se eliminarán del proxy. Básicamente es la lista de encabezados que solo se aplican a la conexión a Internet.

Ahora, este uso es un poco confuso. Varios proxies lo admiten, pero aparentemente no todos conocen este comportamiento, ya que el proxy inverso F5 cumplió con el Connection encabezado, y eliminó el X-F5-Auth-Token. Después de que el módulo PAM haya procesado la solicitud, por supuesto. La última pieza del rompecabezas es el Host un encabezado que es utilizado por el proxy para construir el X-Forwarded-Host encabezamiento.

Entonces, PAM ve el encabezado Auth y pasa la solicitud al servicio Java sin realizar una verificación de autorización. El proxy inverso ve el Connection encabezado, y lo elimina junto con el encabezado Auth. Luego vuelve a escribir el encabezado Host en X-Forwarded-Host. Y finalmente, el back-end recibe la solicitud sin un encabezado de autenticación, proveniente de localhost junto con X-Forwarded-Host, por lo que lo acepta sin autenticación. Configure tres encabezados HTTP personalizados y puede omitir la autenticación. ¡Ay!

Certificado de Active Directory

Ah, Directorio Activo. Esta vez, es el soporte de AD para autenticarse con certificados de clave pública. AD puede distribuir certificados a usuarios y máquinas que están en el dominio. La diferencia entre estos dos es que los usuarios tienen un nombre de usuario (UPN), y las máquinas tienen dNSHostName nombre. La UPN tiene un requisito estricto de unicidad, sin embargo dNSHostName curiosamente no hay tal requisito. Entonces, ¿podría configurar una cuenta de máquina para tener el mismo dNSHostName como controlador de dominio, y ¿qué sucede?

Después de algunos toques en la cuenta, sí, puede cambiar el nombre de una cuenta de máquina para que coincida con el controlador de dominio. Solicite un certificado PKI para esta cuenta renombrada, y de repente recibió un ticket dorado: el resto del dominio cree que usted es el controlador. Esto se solucionó en las actualizaciones de mayo de 2022.

TLStormenta 2

¿Utiliza hardware Aruba o Avaya? Es hora de buscar actualizaciones de firmware, ya que Armis lanzó recientemente la versión TLStorm 2. Es similar a los problemas anteriores encontrados en las copias de seguridad de la batería de APC. Una vez más, la biblioteca nanoSSL está integrada en el firmware del hardware y existen fallas tanto en la biblioteca como en la integración. En ambas marcas, las fallas permiten la autorización previa de RCE, pero afortunadamente estas interfaces generalmente no están expuestas a la Internet abierta.

Páginas de Cloudflare

Los investigadores de Assetnote analizaron Cloudflare Pages, una plataforma de implementación continua en la que Cloudflare extrae el código del repositorio Github/Gitlab de los usuarios, ejecuta el código en la infraestructura de Cloudflare y luego aloja los resultados mediante la ejecución de comandos de compilación arbitrarios; sin duda eso podría fallar. iel.

Afortunadamente, las páginas nos permiten especificar comandos de compilación arbitrarios para ejecutar la compilación. Entonces, naturalmente, nuestro sitio construirá un caparazón inverso.

Ese caparazón invertido funcionó, dando a los investigadores un punto de apoyo en la puerta. Describen el proceso como muy similar al concurso Capture The Flag (CTF). Su primera bandera capturada fue la capacidad de ejecutar comandos arbitrarios como raíz en el entorno de construcción. El script de compilación realiza una mv comando con la construcción de la carretera como argumento. Esto es fácil, la inclusión de un punto y coma facilita la ejecución de un comando: f;env>/tmp/bar.txt;echo

El único problema es que antes de ejecutar la compilación, se valida la ruta para asegurarse de que el directorio existe. Realmente no es un problema, porque el comando también es un nombre de directorio válido: mkdir -p ‘f;env>/tmp/bar.txt;echo’ Esto descartó las variables de medios de la compilación, y entre los datos había una clave privada de GitHub. Esta clave se usó para todas las compilaciones, lo que significa que dio acceso a todos los 18290 repositorios de usuarios de otros usuarios de Cloudflare Pages. Hay más "banderas" descritas en el guión, échale un vistazo para el resto de la historia.

Cloudflare respondió admirablemente a los informes de errores y encontró evidencia en sus protocolos para la explotación de prueba de concepto de todas las vulnerabilidades informadas. Una vez que tuvieron indicadores de compromiso (IoC) sólidos para cada explotación, buscaron en sus registros cualquier signo de explotación maliciosa real. Para todos estos errores, los únicos éxitos estaban asociados con la investigación. El último error descubierto, el puerto abierto de la API de Kubernetes, no tenía un IoC accesible, por lo que Cloudflare envió una notificación a los clientes que podrían estar expuestos al problema. ¡Buen trabajo!

Bits y Bits

Ransomware reclamó una nueva víctima, Lincoln College en Illinois. Exactamente cuando la escuela regresó después de la pandemia, sus sistemas fueron atacados por un ataque de ransomware en diciembre de 2021. Todos los sistemas esenciales estuvieron inactivos durante unos tres meses y, después de la restauración, se hizo evidente que la escuela ya no era financieramente sostenible. . El ransomware acabó con la universidad. Deja que eso vaya más profundo.

Trend Micro finalmente clasificó erróneamente el navegador de Microsoft como un programa malicioso. Varios clientes de Trend Micro informaron que un archivo de Microsoft Edge, msedge_200_percent.pak fue marcado como malware. El error se ha corregido y Trend Micro ha publicado una secuencia de comandos para ayudar a limpiar los daños potenciales del falso positivo.

La plataforma de virtualización NFVIS de Cisco tiene una colección de problemas importantes recientemente anunciados y parcheados. El peor de estos es un escape de VM, que permite a un atacante obtener acceso de root al hipervisor. También hay un par de vulnerabilidades de inyección, también bastante graves. Si NFVIS es parte de su infraestructura, ¡adelante y actualice!

Fernando Román
Fernando Román

Deja una respuesta

Tu dirección de correo electrónico no será publicada.