三星很不重视安全，你还继续用三星产品吗？

近日，三星安全管理桌面应用中被发现了数个安全漏洞。这些软件是由三星的子公司HanwhaTechwin Europe开发和维护的。

在1.3版本中，研究者能够通过精心构造PUT和MOVE请求从客户端发送给服务端，不需要任何交互，便可以获得远程代码执行的系统权限。CVSS评分10.0分。

不久之后开发的1.4版本中，试图通过绑定ActiveMQ服务到本地的方式修复这个漏洞。但是这个版本依然有远程代码执行漏洞，攻击向量变成服务端发送给客户端，这让客户端会受到PUT和MOVE请求的攻击。CVSS依然能打到6.9分。

在最新版本1.5中，依然存在漏洞。供应商和第三方也没有公布任何修复建议和漏洞细节，我觉得是该向大家公布细节了。

漏洞发现时间线

1.5以及之前的版本，包含另外两个远程代码执行0day，目前仍然还没有修复。

时间线：

25/07/2016 — 我向 Hanwha (secure.cctv@hanwha.com) 和 ICS-CERT (ics-cert@dhs.gov)报告了这个漏洞。
27/07/2016 — Hanwha 答复他们无法复现这个问题。
28/07/2016 —我重新发送最初的报告，并深入解释原因在于安装的初始配置做的不好。
31/07/2016 — Hanwha 再次回复运行了多个POC之后“没有什么事发生”。
01/08/2016 — Hanwha 确认PUT和MOVE漏洞在1.5版本中已经解决了。
08/08/2016 — 我直接给ICS-CERT发送邮件请求帮助并转发了Hanwha处理的过程。
08/08/2016 — Hanwha阐明他们已经把问题转发给一个开发了。
08/08/2016 — 我邮件询问Hanwha更新状态，希望他们尽快修复。
18/08/2016 —  Hanwha或ICS-CERT没有任何回复。
21/08/2016 — 我通知Hanwha我打算公开这个0day漏洞的细节。
22/08/2016 — 完全公开。

由于这些漏洞都没有补丁修复，所以我不打算公布太多细节。

关于三星安全管理ActiveMQ代理服务PUT/MOVE远程代码执行漏洞，是因为本地部署的Apache HTTP服务没有实施CORS策略，而浏览器（如Chrome，IE/Edge和火狐）的默认设置会拒绝本地边界接口请求。

本质上，任何本地客户端的攻击都会缓解。但是，由于XSS漏洞的存在我们可以利用它来获取本地脚本代码执行权限。这意味着我们可以绕过CORS保护发送PUT和MOVE请求来写入服务端代码到目标web-root来进行远程代码执行。ActiveMQ代理服务漏洞让这个方法称为可能。

漏洞利用详情

每个漏洞都能单独利用。注入JS代码之后，利用过程就很简单明了了。

下一部分，我们介绍一下Redis服务注入。这个安装部署了一个Redis服务没有配置密码。由于Redis服务不是一个HTTP服务，任何通过浏览器的HTTP请求都不被CORS策略限制。

这意味着任何浏览器都会允许HTTP请求发向Redis服务。由于Redis协议格式是明文的，会一行一行处理HTTP请求，直到获得能够解析的命令为止。

这个PoC利用简单的使用DBSAVE注入技术，将注入代码写入到服务，然后执行命令运行计算器。注入成功之后，攻击者可以通过4512端口直接访问HTTP服务。

最后我们介绍一个Apache Felix Gogo注入。这里安装部署的Apache Felix Gogo运行时服务没有配置密码。由于Apache Felix Gogo运行时服务不是HTTP服务，通过浏览器的HTTP请求不受CORS策略约束。

这意味着任何HTTP请求都能直接到达服务。与Redis服务相似，Gogo运行时服务使用明文命令，会一行一行处理请求，直到获得可以解析的命令为止。

以上三个漏洞，都是危险程度极高的漏洞，希望三星方面能够及时解决。