کشف زنجیره آسیب پذیری RCE در سرورهای Cisco Prime

دسته بندی ها : آسیب پذیری ۷ بهمن ۱۴۰۰ آپا دانشگاه تبریز 214 بازدید
سرورهای Cisco Prime

کشف زنجیره آسیب پذیری RCE  در سرورهای  Cisco Prime

دو محقق امنیتی توانستند یک مجموعه از آسیب پذیری‌های RCE را در رابط کاربری وب سرورهای Cisco Prime پیدا کنند.

Cisco Prime یک سرویس مدیریت شبکه است که قابلیت‌هایی مانند ایجاد و مانیتورینگ شبکه، بهینه‌سازی و همچنین خطایابی دستگاه‌های بی‌سیم و سیمی را فراهم می­کند.

در زمان تحقیق و بررسی سرویس‌ها، دو محقق به نام های Andreas Finstad و Arthur Donkers توانستند باگ‌های مختلفی را کشف کنند که وقتی با هم تشکیل زنجیره می­دهند، می­توانند به طور کامل سرور‌های Prime را با خطر مواجه کنند و  امکان تهاجم شل معکوس را فراهم می­سازند.

 

هک از طریق پروتکل SNMP

بردار حمله XSS عامل اصلی رخداد آسیب پذیری در Cisco Prime بوده است. این بردار از طریق پروتکل SNMP بهره برداری شده است. این پروتکل اغلب برای جستجوی دستگاه‌ها در درون شبکه استفاده می­شود.

نکته‌ی جالب توجه این است که Finstad توانسته است آسیب پذیری‌های مشابهی را در حداقل دو نوع دیگر از ابزارهای مدیریت شبکه مبتنی بر وب پیدا کند.

Finstad در مصاحبه با Daily Swig بیان کرد: « نکته جالب این است که فروشندگان دستگاه­های SNMP هرگز به این موضوع فکر نمی‌کنند که ممکن است SNMP به عنوان یک بردار حمله بالقوه در شبکه حضور داشته باشد. به همین دلیل اقدامی برای پاکسازی ورودی‌های (sanitizing) از سمت دستگاه­های مخرب احتمالی را انجام نمی­دهند.»

Finstadدر ادامه افزود: « با این تصور، من تصمیم گرفتم که باید Cisco Prime را هم در برابر این آسیب پذیری بررسی کنم. بنابراین در آزمایشگاهم این سرور را تنظیم کردم. نتیجه این بود از طریق XSS مبتنی بر SNMP به طور مشابه این آسیب‌پذیری قابل اکسپلویت است. »

سرور Cisco Prime درخواست‌های SNMP را برای جمع­آوری اطلاعات در مورد دستگاه­های حاضر در شبکه، ارسال می­کند. از جمله اطلاعاتی که دستگاه­ها ارسال می­کنند شامل آدرس مربوط به یک فایل image است.

محققین یک دستگاه مبتنی بر Linux  را در شبکه و فایل کانفیگ SNMP قرار دادند. سپس آدرس تصویر را به صورت کد JavaScript قرار دادند که یک کد مخرب را اجرا می‌کرد که میزبان این کد بر روی سرورهای تحت کنترل آن­ها قرار داشت.

پس از هدایتadmin  سرور به صفحه جستجوی دستگاه­ها بر روی سرور Prime، کد مخرب بارگذاری و بر روی مرورگر اجرا می­شود. در نتیجه حمله XSS رخ می­دهد.

آسیب پذیری های زنجیره ای

از طریق XSS، محققین می­توانند یک سری از آسیب‌پذیری‌های دیگر را هم به صورت زنجیره‌ای مورد سوءاستفاده قرار دهند.

اولین آسیب پذیری مربوط به یک کوکی   IDجلسه بود که به طور محلی و بدون محافظت، ذخیره می‌شود. محققین از طریق این آسیب‌پذیری می­توانند session فعال administrator را مورد سرقت قرار دهند.

در مرحله‌ی بعد با استفاده از توکن به سرقت رفته‌ی admin ، محققین سعی می­کنند دستوراتی برای مدیریت Prime از طریق رابط کاربری ارسال کنند.

مشابه بسیاری از وب اپلیکیشن‌ها، رابط مدیریتی Prime نیز توسط توکن‌های anti-CSRF در برابر اجرای دستورات گفته شده، محافظت می‌شود. اماFinstad  و همکارش از طریق probe ابزار Prime development توانستند تابع تولید کننده‌ی توکن‌ها را که می­تواند دور زدن anti-CSRF را امکان پذیر کند، شناسایی نمایند.

Finstad گفت: « اِعمال کنترل­های امنیتی ذکر شده در سمت مشتری (Clinet) می­تواند احتمال حملات را به شدت بالا ببرد. مهاجمین می­توانند کدها را بخوانند و اجرا کنند، پس شما یک راه موثر برای آن­ها فراهم کرده‌اید تا شما را مورد حمله قرار دهند! »

از طریق دسترسی ارتقا یافته، محققین موفق شدند برای خودشان حساب administrator دیگری را هم ایجاد کنند و به صورت مداوم در سرور باقی بمانند. همچنین آن­ها توانستند ردپای خودشان را در داخل شبکه از بین ببرند. همچنین اولین دستگاهی که از طریق آن به سرور راه پیدا کردند را پاک کردند.

Finstad گفت: « این موضوع موجب می­شود امکان کنترل هر سوییچی در شبکه فراهم گردد. همچنین محدویت­های VLAN به راحتی برداشته می­شوند، امکان تغییر مسیریابی بر روی دستگاه ها، تغییر آدرس­های شبکه و سایر قابلیت­های admin فراهم می­شود. »

شل معکوس (Reverse Shell)

در نهایت، این دو محقق از دو آسیب پذیری دیگر هم استفاده کردند تا دسترسی‌های بیشتری در سرور دریافت کنند. آن­ها یک کد شل معکوس مبتنی بر JSP را از طریق تابعی که نوع فایل و محتوا را چک نمی‌کند بر روی سرور آپلود کردند.

آسیب پذیری دوم برای آن­ها قابلیت پیمایش مسیر (path-traversal) را فراهم کرد و توانستند اسکریپ مورد نظر خودشان را بر روی دایرکتوری سیستم دلخواه قرار دهند. در آخر، با اجرای فایل JSP ، امکان باز کردن شل معکوس برای یکی از دستگاه هایشان که در حال گوش دادن به شبکه قرار داشت، فراهم شد.

Finstad گفت: « ما RCE را اجرا کردیم و بسیار جذاب بود! همچنین این حمله برای مهاجم قابلیت استفاده از سیستم­های در معرض خطر را برای سایر اهدافشان فراهم می­کند. »

می‌توان تصور کرد که اگر نقش ادمین آسیب‌پذیر باشد، مهاجم می­تواند دسترسی به سیستم­های دیگری را بر روی شبکه به دست آورد یا ممکن است به پسوردهایی که به صورت محلی ذخیره شده‌اند و سایر اطلاعات جالب دست یابد. »

یافته‌ها، نقص‌های کلیدی و مهمی را در امن‌سازی وب اپلیکیشن‌ها نشان می­دهد.

Finstad گفت: « هرگز تنها به امنیت سمت مشتری اکتفا نکنید. حقیقت این است که چون سمت مشتری (مرورگر) به طور کامل تحت اختیار شما نیست، بنابراین سعی کنید در سمت سرور به خوبی اقدامات امنیتی را انجام دهید. »

همچنین محققین در مورد دست کم گرفتن آسیب‌پذیری‌های کوچک هشدار دادند.

Finstad گفت: « آنچه که ما اغلب مشاهده می­کنیم این است که هکرها، شکارچیان bug bounty و سازمان­ها معمولا بر روی آسیب‌پذیری­ها با اولویت بالا تمرکز می­کنند و معمولا آسیب‌پذیری‌های سطح متوسط فراموش می­شوند. »

اما آنچه که ما امروز شاهدش بودیم، این است که آسیب‌پذیری‌های کوچک‌تر ممکن است بتوانند موجب پیدایش آسیب‌پذیری‌های بزرگتر شوند.

 

اخبار آسیب‌پذیری‌ها را از سایت آپا تبریز، بخش آسیب‌پذیری‌ها دنبال کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :