Para quien no lo conozca HackerOne es una plataforma para hospedar programas de recompensas por bugs de seguridad (bug bounty programs). Dentro de la misma dos gigantes como Microsoft y Facebook patrocinan elInternet Bug Bounty que paga por vulnerabilidades descubiertas en las tecnologías principales de Internet como DNS, BGP, SSL, etc. y en general cualquier fallo que afecte globalmente a muchos sitios o proveedores.
Recientemente han premiado con 5.000$ a Luca Bruno (kaeso) por un estudio llevado a cabo en mayo de 2014 para analizar la seguridad de los servicios denominados looking-glasses que ofrecen muchos AS (Autonomous Systems) para diversas pruebas de conectividad en Internet. Las razones que han llevado a identificarlos como fuente potencial de problemas son las siguientes:
- son scripts web directamente conectados a routers (telnet/ssh) del backbone (BGP)
- muchos de ellos han sido programados en los 90s o 00s sin tener en cuenta la seguridad
- muchos de ellos no han sido actualizados en años
- en muchos AS se ha desplegado software de código abierto
Es decir, ataques con éxito contra scripts PHP/Perl escritos hace una década pueden permitir el acceso a la consola de los routers. Una vez dentro, un atacante podría escalar privilegios y ejecutar comandos causando estragos en la red: desde fuga de información sensible, hasta DoS o cambios de enrutamiento BGP hacia sitios maliciosos.
El resultado de este estudio a derivado en la identificación de diversos fallos que se categorizan de la siguiente manera:
- configuración insegura por defecto provocando la exposición de direcciones IP, credenciales y claves privadas SSH => entrada directa a los routers
- débil sanitización de entrada de comandos => inyección de comandos arbitrarios en routers
- corrupción remota de memoria => RCE en servidores looking-glass, explotable para obtener las credenciales de credenciales
- XSS reflection => robar las cookies de otros paneles de administración de red bajo el mismo origen
Y en particular, han conseguido nada más y nada menos 6 CVEs, cada uno con los detalles y la línea de tiempo correspondientes:
- XSS en Cougar-LG - http://www.s3.eurecom.fr/cve/CVE-2014-3926.txt
- inyección de comandos en routers mediante mrlg4php -http://www.s3.eurecom.fr/cve/CVE-2014-3927.txt
- credenciales expuestas en Cougar-LG - http://www.s3.eurecom.fr/cve/CVE-2014-3928.txt
- claves SSH expuestas en Cougar-LG - http://www.s3.eurecom.fr/cve/CVE-2014-3929.txt
- credenciales expuestas en Cistron-LG - http://www.s3.eurecom.fr/cve/CVE-2014-3930.txt
- corrupción remota de memoria en binario SUID - http://www.s3.eurecom.fr/cve/CVE-2014-3931.txt
Más información en: https://hackerone.com/reports/16330
No hay comentarios:
Publicar un comentario