Múltiples vulnerabilidades en servicios looking-glass de Internet

Para quien no lo conozca HackerOne es una plataforma para hospedar programas de recompensas por bugs de seguridad (bug bounty programs). Dentro de la misma dos gigantes como Microsoft y Facebook patrocinan el Internet Bug Bounty que paga por vulnerabilidades descubiertas en las tecnologías principales de Internet como DNS, BGP, SSL, etc. y en general cualquier fallo que afecte globalmente a muchos sitios o proveedores.

Recientemente han premiado con 5.000$ a Luca Bruno (kaeso) por un estudio llevado a cabo en mayo de 2014 para analizar la seguridad de los servicios denominados looking-glasses que ofrecen muchos AS (Autonomous Systems) para diversas pruebas de conectividad en Internet. Las razones que han llevado a identificarlos como fuente potencial de problemas son las siguientes:

- son scripts web directamente conectados a routers (telnet/ssh) del backbone (BGP)
- muchos de ellos han sido programados en los 90s o 00s sin tener en cuenta la seguridad
- muchos de ellos no han sido actualizados en años
- en muchos AS se ha desplegado software de código abierto

Es decir, ataques con éxito contra scripts PHP/Perl escritos hace una década pueden permitir el acceso a la consola de los routers. Una vez dentro, un atacante podría escalar privilegios y ejecutar comandos causando estragos en la red: desde fuga de información sensible, hasta DoS o cambios de enrutamiento BGP hacia sitios maliciosos.

El resultado de este estudio a derivado en la identificación de diversos fallos que se categorizan de la siguiente manera:

- configuración insegura por defecto provocando la exposición de direcciones IP, credenciales y claves privadas SSH => entrada directa a los routers
- débil sanitización de entrada de comandos => inyección de comandos arbitrarios en routers
- corrupción remota de memoria  => RCE en servidores looking-glass, explotable para obtener las credenciales de credenciales
- XSS reflection => robar las cookies de otros paneles de administración de red bajo el mismo origen

Y en particular, han conseguido nada más y nada menos 6 CVEs, cada uno con los detalles y la línea de tiempo correspondientes:

- XSS en Cougar-LG - http://www.s3.eurecom.fr/cve/CVE-2014-3926.txt
- inyección de comandos en routers mediante mrlg4php - http://www.s3.eurecom.fr/cve/CVE-2014-3927.txt
- credenciales expuestas en Cougar-LG - http://www.s3.eurecom.fr/cve/CVE-2014-3928.txt
- claves SSH expuestas en Cougar-LG - http://www.s3.eurecom.fr/cve/CVE-2014-3929.txt
- credenciales expuestas en Cistron-LG - http://www.s3.eurecom.fr/cve/CVE-2014-3930.txt
- corrupción remota de memoria en binario SUID - http://www.s3.eurecom.fr/cve/CVE-2014-3931.txt

Más información en: https://hackerone.com/reports/16330

Comentarios

  1. With regards to CVE-2014-3931, I am the author of MRLG and have released MRLG version 5.5.0 which addresses and mitigates the vulnerability described in CVE-2014-3931. I advise anyone who is using ANY version of my MRLG prior to version 5.5.0 to upgrade to the latest version. The latest code is available at http://mrlg.op-sec.us/

    Thanks,
    John Fraizer
    Author of Multi-Router Looking Glass (MRLG)

    ResponderEliminar

Publicar un comentario