三星很不重視安全，你還繼續用三星產品嗎？

近日，三星安全管理桌面應用中被發現了數個安全漏洞。這些軟體是由三星的子公司HanwhaTechwin Europe開發和維護的。

在1.3版本中，研究者能夠通過精心構造PUT和MOVE請求從客戶端發送給服務端，不需要任何交互，便可以獲得遠程代碼執行的系統許可權。CVSS評分10.0分。

不久之後開發的1.4版本中，試圖通過綁定ActiveMQ服務到本地的方式修復這個漏洞。但是這個版本依然有遠程代碼執行漏洞，攻擊向量變成服務端發送給客戶端，這讓客戶端會受到PUT和MOVE請求的攻擊。CVSS依然能打到6.9分。

在最新版本1.5中，依然存在漏洞。供應商和第三方也沒有公布任何修復建議和漏洞細節，我覺得是該向大家公布細節了。

1.5以及之前的版本，包含另外兩個遠程代碼執行0day，目前仍然還沒有修復。

時間線：

25/07/2016?—?我向 Hanwha (secure.cctv@hanwha.com) 和 ICS-CERT (ics-cert@dhs.gov)報告了這個漏洞。n27/07/2016?—?Hanwha 答覆他們無法復現這個問題。n28/07/2016?—我重新發送最初的報告，並深入解釋原因在於安裝的初始配置做的不好。n31/07/2016?—?Hanwha 再次回復運行了多個POC之後「沒有什麼事發生」。n01/08/2016?—?Hanwha 確認PUT和MOVE漏洞在1.5版本中已經解決了。n08/08/2016?—?我直接給ICS-CERT發送郵件請求幫助並轉發了Hanwha處理的過程。n08/08/2016?—?Hanwha闡明他們已經把問題轉發給一個開發了。n08/08/2016?—?我郵件詢問Hanwha更新狀態，希望他們儘快修復。n18/08/2016?—? Hanwha或ICS-CERT沒有任何回復。n21/08/2016?—?我通知Hanwha我打算公開這個0day漏洞的細節。n22/08/2016?—?完全公開。n

由於這些漏洞都沒有補丁修復，所以我不打算公布太多細節。

關於三星安全管理ActiveMQ代理服務PUT/MOVE遠程代碼執行漏洞，是因為本地部署的Apache HTTP服務沒有實施CORS策略，而瀏覽器（如Chrome，IE/Edge和火狐）的默認設置會拒絕本地邊界介面請求。

本質上，任何本地客戶端的攻擊都會緩解。但是，由於XSS漏洞的存在我們可以利用它來獲取本地腳本代碼執行許可權。這意味著我們可以繞過CORS保護髮送PUT和MOVE請求來寫入服務端代碼到目標web-root來進行遠程代碼執行。ActiveMQ代理服務漏洞讓這個方法稱為可能。

每個漏洞都能單獨利用。注入JS代碼之後，利用過程就很簡單明了了。

下一部分，我們介紹一下Redis服務注入。這個安裝部署了一個Redis服務沒有配置密碼。由於Redis服務不是一個HTTP服務，任何通過瀏覽器的HTTP請求都不被CORS策略限制。

這意味著任何瀏覽器都會允許HTTP請求發向Redis服務。由於Redis協議格式是明文的，會一行一行處理HTTP請求，直到獲得能夠解析的命令為止。

這個PoC利用簡單的使用DBSAVE注入技術，將注入代碼寫入到服務，然後執行命令運行計算器。注入成功之後，攻擊者可以通過4512埠直接訪問HTTP服務。

最後我們介紹一個Apache Felix Gogo注入。這裡安裝部署的Apache Felix Gogo運行時服務沒有配置密碼。由於Apache Felix Gogo運行時服務不是HTTP服務，通過瀏覽器的HTTP請求不受CORS策略約束。

這意味著任何HTTP請求都能直接到達服務。與Redis服務相似，Gogo運行時服務使用明文命令，會一行一行處理請求，直到獲得可以解析的命令為止。

以上三個漏洞，都是危險程度極高的漏洞，希望三星方面能夠及時解決。

註：本文參考來源於medium 原載時間2016年8月24日

推薦閱讀：