回归最本质的信息安全

三星很不重视安全,你还继续用三星产品吗?

2016年8月24日发布

3,049
1
0

导语:近日,三星安全管理桌面应用中被发现了数个安全漏洞。这些软件是由三星的子公司HanwhaTechwin Europe开发和维护的。

近日,三星安全管理桌面应用中被发现了数个安全漏洞。这些软件是由三星的子公司HanwhaTechwin Europe开发和维护的。

在1.3版本中,研究者能够通过精心构造PUT和MOVE请求从客户端发送给服务端,不需要任何交互,便可以获得远程代码执行的系统权限。CVSS评分10.0分。

不久之后开发的1.4版本中,试图通过绑定ActiveMQ服务到本地的方式修复这个漏洞。但是这个版本依然有远程代码执行漏洞,攻击向量变成服务端发送给客户端,这让客户端会受到PUT和MOVE请求的攻击。CVSS依然能打到6.9分。

在最新版本1.5中,依然存在漏洞。供应商和第三方也没有公布任何修复建议和漏洞细节,我觉得是该向大家公布细节了。

漏洞发现时间线

1.5以及之前的版本,包含另外两个远程代码执行0day,目前仍然还没有修复。

时间线:

25/07/2016 — 我向 Hanwha (secure.cctv@hanwha.com) 和 ICS-CERT (ics-cert@dhs.gov)报告了这个漏洞。
27/07/2016 — Hanwha 答复他们无法复现这个问题。
28/07/2016 —我重新发送最初的报告,并深入解释原因在于安装的初始配置做的不好。
31/07/2016 — Hanwha 再次回复运行了多个POC之后“没有什么事发生”。
01/08/2016 — Hanwha 确认PUT和MOVE漏洞在1.5版本中已经解决了。
08/08/2016 — 我直接给ICS-CERT发送邮件请求帮助并转发了Hanwha处理的过程。
08/08/2016 — Hanwha阐明他们已经把问题转发给一个开发了。
08/08/2016 — 我邮件询问Hanwha更新状态,希望他们尽快修复。
18/08/2016 —  Hanwha或ICS-CERT没有任何回复。
21/08/2016 — 我通知Hanwha我打算公开这个0day漏洞的细节。
22/08/2016 — 完全公开。

由于这些漏洞都没有补丁修复,所以我不打算公布太多细节。

关于三星安全管理ActiveMQ代理服务PUT/MOVE远程代码执行漏洞,是因为本地部署的Apache HTTP服务没有实施CORS策略,而浏览器(如Chrome,IE/Edge和火狐)的默认设置会拒绝本地边界接口请求。

本质上,任何本地客户端的攻击都会缓解。但是,由于XSS漏洞的存在我们可以利用它来获取本地脚本代码执行权限。这意味着我们可以绕过CORS保护发送PUT和MOVE请求来写入服务端代码到目标web-root来进行远程代码执行。ActiveMQ代理服务漏洞让这个方法称为可能。

漏洞利用详情

每个漏洞都能单独利用。注入JS代码之后,利用过程就很简单明了了。

下一部分,我们介绍一下Redis服务注入。这个安装部署了一个Redis服务没有配置密码。由于Redis服务不是一个HTTP服务,任何通过浏览器的HTTP请求都不被CORS策略限制。

这意味着任何浏览器都会允许HTTP请求发向Redis服务。由于Redis协议格式是明文的,会一行一行处理HTTP请求,直到获得能够解析的命令为止。

这个PoC利用简单的使用DBSAVE注入技术,将注入代码写入到服务,然后执行命令运行计算器。注入成功之后,攻击者可以通过4512端口直接访问HTTP服务。

最后我们介绍一个Apache Felix Gogo注入。这里安装部署的Apache Felix Gogo运行时服务没有配置密码。由于Apache Felix Gogo运行时服务不是HTTP服务,通过浏览器的HTTP请求不受CORS策略约束。

这意味着任何HTTP请求都能直接到达服务。与Redis服务相似,Gogo运行时服务使用明文命令,会一行一行处理请求,直到获得可以解析的命令为止。

以上三个漏洞,都是危险程度极高的漏洞,希望三星方面能够及时解决。

​本文翻译于medium,如若转载,请注明来源于嘶吼: http://www.4hou.com/vulnerable/2449.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

張奕源Nick

張奕源Nick

嘶吼编辑

发私信

发表评论

    sanye
    Paddy 2017-06-09 17:36

    重来不用三星