三星很不重視安全,你還繼續用三星產品嗎?
近日,三星安全管理桌面應用中被發現了數個安全漏洞。這些軟體是由三星的子公司HanwhaTechwin Europe開發和維護的。
在1.3版本中,研究者能夠通過精心構造PUT和MOVE請求從客戶端發送給服務端,不需要任何交互,便可以獲得遠程代碼執行的系統許可權。CVSS評分10.0分。
不久之後開發的1.4版本中,試圖通過綁定ActiveMQ服務到本地的方式修復這個漏洞。但是這個版本依然有遠程代碼執行漏洞,攻擊向量變成服務端發送給客戶端,這讓客戶端會受到PUT和MOVE請求的攻擊。CVSS依然能打到6.9分。
在最新版本1.5中,依然存在漏洞。供應商和第三方也沒有公布任何修復建議和漏洞細節,我覺得是該向大家公布細節了。
1.5以及之前的版本,包含另外兩個遠程代碼執行0day,目前仍然還沒有修復。
時間線:
25/07/2016?—?我向 Hanwha (secure.cctv@hanwha.com) 和 ICS-CERT (ics-cert@dhs.gov)報告了這個漏洞。n27/07/2016?—?Hanwha 答覆他們無法復現這個問題。n28/07/2016?—我重新發送最初的報告,並深入解釋原因在於安裝的初始配置做的不好。n31/07/2016?—?Hanwha 再次回復運行了多個POC之後「沒有什麼事發生」。n01/08/2016?—?Hanwha 確認PUT和MOVE漏洞在1.5版本中已經解決了。n08/08/2016?—?我直接給ICS-CERT發送郵件請求幫助並轉發了Hanwha處理的過程。n08/08/2016?—?Hanwha闡明他們已經把問題轉發給一個開發了。n08/08/2016?—?我郵件詢問Hanwha更新狀態,希望他們儘快修復。n18/08/2016?—? Hanwha或ICS-CERT沒有任何回復。n21/08/2016?—?我通知Hanwha我打算公開這個0day漏洞的細節。n22/08/2016?—?完全公開。n
由於這些漏洞都沒有補丁修復,所以我不打算公布太多細節。
關於三星安全管理ActiveMQ代理服務PUT/MOVE遠程代碼執行漏洞,是因為本地部署的Apache HTTP服務沒有實施CORS策略,而瀏覽器(如Chrome,IE/Edge和火狐)的默認設置會拒絕本地邊界介面請求。
本質上,任何本地客戶端的攻擊都會緩解。但是,由於XSS漏洞的存在我們可以利用它來獲取本地腳本代碼執行許可權。這意味著我們可以繞過CORS保護髮送PUT和MOVE請求來寫入服務端代碼到目標web-root來進行遠程代碼執行。ActiveMQ代理服務漏洞讓這個方法稱為可能。
每個漏洞都能單獨利用。注入JS代碼之後,利用過程就很簡單明了了。
下一部分,我們介紹一下Redis服務注入。這個安裝部署了一個Redis服務沒有配置密碼。由於Redis服務不是一個HTTP服務,任何通過瀏覽器的HTTP請求都不被CORS策略限制。
這意味著任何瀏覽器都會允許HTTP請求發向Redis服務。由於Redis協議格式是明文的,會一行一行處理HTTP請求,直到獲得能夠解析的命令為止。
這個PoC利用簡單的使用DBSAVE注入技術,將注入代碼寫入到服務,然後執行命令運行計算器。注入成功之後,攻擊者可以通過4512埠直接訪問HTTP服務。
最後我們介紹一個Apache Felix Gogo注入。這裡安裝部署的Apache Felix Gogo運行時服務沒有配置密碼。由於Apache Felix Gogo運行時服務不是HTTP服務,通過瀏覽器的HTTP請求不受CORS策略約束。
這意味著任何HTTP請求都能直接到達服務。與Redis服務相似,Gogo運行時服務使用明文命令,會一行一行處理請求,直到獲得可以解析的命令為止。
以上三個漏洞,都是危險程度極高的漏洞,希望三星方面能夠及時解決。
註:本文參考來源於medium 原載時間2016年8月24日
推薦閱讀:
※鴻海意圖收購東芝存儲器部門是為了抗衡三星
※面板雙雄LG和三星在OLED世界展開對決
※扒一扒這家危機重重的商業帝國
※前三星員工曝光三星對付中國員工的低劣手段
※三星豪門多恩怨:大姐苦戀鳳凰男,二姐嫁高帥富,小妹為情自殺…