Archives du mot-clé Faille / Exploit

Un bot qui pénètre les serveurs Redis

Article intéressant sur un bot qui obtient des accès root sur des serveurs Linux quelques commandes bien placées sur un serveur Redis.

La technique est la suivante : supprimer les clés existantes, définir une nouvelle clé contenant une clé publique SSH, changer le répertoire de config de Redis, changer le nom de fichier de la base de donnée et laisser ainsi Redis écrire le fichier authorized_keys. Félicitations vous êtes root :p

Derrière le bot installe un faux ransomware, faux parce qu’il supprime les fichiers avant de demander une rançon pour leur version chiffrée qui n’existe pas.

Bypass UAC : nouvelles techniques avec eventvwr et CompMgmtLauncher

Après la récente utilisation de CleanMgr pour bypasser l’UAC de Windows, voici déjà deux nouvelles techniques découvertes.
Les deux techniques sont en fait similaire et se basent sur le fait que des process Windows avec des droits élevés vont chercher le path d’un exécutable (normalement mmc.exe) dans la ruche utilisateur (HKCU, donc contrôlable par un utilisateur non privilégié) avant de l’exécuter.

Technique avec l’Event Viewer.
Technique avec CompMgmtLauncher

Equation Group : les hackers de la NSA piratés

Tout a commencé avec le tweet d’un groupe baptisé TheShadowBrokers.
Dans un pastebin ils affirment avoir piraté l’équipe de hackers de la NSA que les firmes antivirales ont surnommé le Equation Group.

Les mystérieux hackers qui s’en prennent à la NSA ont publié un zip qui contient deux archives .tar.xz chiffrées par GPG.
L’une de ces archives est déchiffrable (le mot de passe est fournit) et contient des exploits et des softwares implants (à priori des images modifiées de firmwares pour y rajouter des backdoors) pour des firewalls et des routeurs Cisco, Junyper, WatchGuard, Fortigate
Une liste exhaustive des fichiers et leur rôle a été compilée ici.

L’un des exploits a été testé avec succès sur un Cisco ASA. Cisco s’est déjà penché sur les vulnérabilités en cause et des CVE sont déjà ouverts.

Pour les experts sécu les fichiers peuvent très bien provenir de la NSA : on connait leurs intérêts pour ce type d’équipements réseau depuis les révélations de Snowden et du code crypto présent dans l’archive de TheShadowBrokers aurait des similitudes avec du code déjà supposé lié à EquationGroup.
De plus certains noms de l’archive se retrouvent dans les documents leakés de la NSA révélés par Snowden.

La seconde archive chiffrée n’a pas de mot de passe connu, ce dernier fait l’objet d’une enchère. Les fichiers reviendront donc au propriétaire de Bitcoins le plus généreux.
TheShadowBrokers indique que s’il reçoit la somme d’un million de BTC (*cough* *cough*) les fichiers seront rendus publiques à tous.

Faut-il y voir une vrai enchère, une arnaque ou encore un rançonnage de la NSA ? L’enchère semble une vrai blague étant donné que toutes les transactions Bitcoins sont publiques. Et pour disposer d’un million de BTC il faudrait bien la force de calcul… de la NSA 😀
En tout cas des petits rigolos ont déjà envoyé des BTC à l’adresse de TheShadowBrokers pour les rickroller.

Un article complet sur cette histoire peut être lu chez RiskBasedSecurity.

Cleanmgr.exe : une nouvelle méthode de bypass de l’UAC

Deux chercheurs sécu sont récemment tombés sur une petite pépite pour bypasser l’UAC de Windows.

Une tache planifiée destinée à l’utilitaire SilentCleanup / Cleanmgr.exe est configurée pour être exécutée sous des privilèges élevés tout en pouvant être appelée par des utilisateurs peu privilégiés.

Or à son lancement l’utilitaire copie des dlls dans le dossier temporaire de l’utilisateur (donc writable) avant de les charger rendant possible un dll hijacking et par conséquent un bypass de l’UAC.

Exploitation d’une faille SSTI dans Flask/Jinja2

Si on connait mieux les attaques sur Ruby On Rails, notamment grâce à un whitepaper hosté chez phrack.org, on connait un peu moins les attaques possibles sur les équivalents Python.

Le blog nvisium s’est penché sur un exemple de Server-Side Template Injection touchant Flask et le système de templates Jinja2.

Dans un premier article on peut voir le système de template à l’oeuvre, une faille XSS et l’extractions de données du runtime.

Le second article plonge plus profondément dans le langage Python afin d’obtenir un accès au système de fichier puis une exécution de commandes.

Faille SSRF sur Imgur

Sur le site de bug bounty HackerOne on peut lire un rapport intéressant sur une faille de sécurité qui a touché le site Imgur.

Il s’agit d’une faille SSRF touchant un script capable de télécharger une vidéo pour générer un gif animé.
Les failles de Server Side Request Forgery sont la nouvelle tendance grâce aux services en lignes qui en donnent toujours plus. C’est aussi un type de vulnérabilité que l’on retrouve souvent sur les web proxies, permettant alors d’accéder à des ressources internes (serveur CUPS par exemple) à cause d’un manque de vérification sur les URLs demandées.

Dans le cas de Imgur, le script faisait appel à la librairie cURL qui supporte bien plus de protocoles que les wrappers PHP.
Les utilisations possibles de la faille sont alors décuplées, l’article donne quelques idées sympas à mettre en oeuvre.

Certaines fonctions de la Nissan Leaf contrôlables à distance

Troy Hunt s’est penché sur une appli mobile officielle permettant de gérer à distance certaines fonctionnalités de la voiture électrique de Nissan : la Leaf.

Il a découvert en surveillant les communications que les échanges avec l’API ne nécessitaient aucune authentification.
Il suffit alors de disposer seulement du numéro de série du véhicule (qui peut être à la vue de tous ou caché dans le coffre en fonction des pays et des modèles) pour accéder aux infos de déplacement de la voiture (consommation, distances des trajets et heures) et gérer le chauffage (la fonctionnalité de l’appli permet de mettre en marche le chauffage de la voiture avant d’entrer dedans).

Rien de bien méchant contrairement au hack de Jeep mais pas de quoi rassurer les propriétaires de Leaf.