Remote Code Execution – Page 3 – Computer Security Articles

Credit to Author: SSD / Maor Schwartz| Date: Mon, 18 Dec 2017 08:04:57 +0000

漏洞概要以下安全公告描述了QNAP QTS的一个内存损坏漏洞，成功利用该漏洞会造成QNAP QTS 4.3.x和4.2.x版本（包括4.3.3.0299）未经验证的远程代码执行。威联通科技（QNAP Systems, Inc）专注于为企业，中小型企业，SOHO和家庭用户提供文件共享，虚拟化，存储管理和监控应用的网络解决方案。 QNAP QTS是标准的智能NAS操作系统，支持所有文件共享，存储，备份，虚拟化和多媒体QNAP设备。漏洞提交者一位安全研究者TRUEL IT（@truel_it）向 Beyond Security 的 SSD 报告了该漏洞厂商响应 QNAP已被告知该漏洞，并回复：“我们已经确认这个问题与最近的另一份报告相同，并已经发布了CVE-2017-17033。尽管这份报告是重复的，但我们仍然会在即将发布的安全公告中对两位报送者表示感谢。同时，在即将发布的QTS 4.2.6和4.3.3版本中将修复该漏洞。” CVE: CVE-2017-17033 漏洞详细信息由于缺乏适当的边界检查，可以通过特制的HTTP请求溢出堆栈缓冲区并劫持控制流以实现任意代码执行。 authLogin.cgi负责显示来自Web界面的系统信息，并且包含在用户提供的输入进行无限制的sprintf调用中。 authLogin.cgi二进制文件，位于QTS文件系统的/home/httpd/cgibin/目录中，可通过请求端点/cgi-bin/sysinfoReq.cgi进行访问。该二进制文件是QTS的一部分，并充当几个功能的包装器。易受攻击的调用位于handle_qpkg()（0x1C680）函数中，该函数由handle_sysInfoReq()（0x1D398）调用，以显示当前系统信息（型号名称，固件版本，ecc）。 [crayon-5a383ee2c6288334669193/] 通过向sysinfoReq.cgi发送一个HTTP请求，handle_sysInfoReq()（0x1D398）函数被触发，并且根据提供的参数，可以处理不同的进程步骤。 [crayon-5a383ee2c628f233726429/] 如果提供了qpkg HTTP参数，则调用handle_qpkg()（0x1C680）函数。 [crayon-5a383ee2c6292299287155/] handle_qpkg()函数不会验证用户提供的lang HTTP参数值。正如上面的代码路径所示，未经身份验证的攻击者可以为所述参数提供任意大小的值，然后通过sprintf()函数调用将其连接到静态大小（堆栈）缓冲区上的现有字符串。漏洞证明通过发送以下POST请求，我们将使堆栈溢出并用XXXX覆盖qpkg_all_info缓冲区的值，并用YYYY覆盖handle_qpkg()参数返回地址的值，从而造成崩溃。 [crayon-5a383ee2c6295336007302/] 产生以下崩溃： [crayon-5a383ee2c629a114636077/]

Independent Securiteam

SSD Advisory – vBulletin cacheTemplates Unauthenticated Remote Arbitrary File Deletion

December 13, 2017 admin Remote Code Execution, SecuriTeam Secure Disclosure, Unauthenticated Action

Credit to Author: SSD / Maor Schwartz| Date: Wed, 13 Dec 2017 10:36:20 +0000

Vulnerability Summary The following advisory describes a unauthenticated deserialization vulnerability that leads to arbitrary delete files and, under certain circumstances, code execution found in vBulletin version 5. vBulletin, also known as vB, is “a widespread proprietary Internet forum software package developed by vBulletin Solutions, Inc., based on PHP and MySQL database server. vBulletin powers many … Continue reading SSD Advisory – vBulletin cacheTemplates Unauthenticated Remote Arbitrary File Deletion

Independent Securiteam

SSD Advisory – vBulletin routestring Unauthenticated Remote Code Execution

December 13, 2017 admin Remote Code Execution, Remote File Inclusion, SecuriTeam Secure Disclosure, Unauthenticated Action

Credit to Author: SSD / Maor Schwartz| Date: Wed, 13 Dec 2017 10:11:35 +0000

Vulnerability Summary The following advisory describes a unauthenticated file inclusion vulnerability that leads to remote code execution found in vBulletin version 5. vBulletin, also known as vB, is a widespread proprietary Internet forum software package developed by vBulletin Solutions, Inc., based on PHP and MySQL database server. vBulletin powers many of the largest social sites … Continue reading SSD Advisory – vBulletin routestring Unauthenticated Remote Code Execution

Independent Securiteam

SSD Advisory – QNAP QTS Unauthenticated Remote Code Execution

December 11, 2017 admin Buffer Overflow, Remote Code Execution, SecuriTeam Secure Disclosure, Unauthenticated Action

Credit to Author: SSD / Maor Schwartz| Date: Mon, 11 Dec 2017 10:16:42 +0000

Vulnerability Summary The following advisory describes a memory corruption vulnerability that can lead to an unauthenticated remote code execution in QNAP QTS versions 4.3.x and 4.2.x, including the 4.3.3.0299. QNAP Systems, Inc. is “a Taiwanese corporation that specializes in providing networked solutions for file sharing, virtualization, storage management and surveillance applications to address corporate, SMB, … Continue reading SSD Advisory – QNAP QTS Unauthenticated Remote Code Execution

Independent Securiteam

SSD Advisory – Dasan Unauthenticated Remote Code Execution

December 6, 2017 admin Buffer Overflow, Remote Code Execution, SecuriTeam Secure Disclosure, Unauthenticated Action

Credit to Author: SSD / Maor Schwartz| Date: Wed, 06 Dec 2017 06:42:29 +0000

Vulnerability Summary The following advisory describes a buffer overflow that leads to remote code execution found in Dasan Networks GPON ONT WiFi Router H640X versions 12.02-01121 / 2.77p1-1124 / 3.03p2-1146 Dasan Networks GPON ONT WiFi Router “is indoor type ONT dedicated for FTTH (Fibre to the Home) or FTTP (Fiber to the Premises) deployments. That … Continue reading SSD Advisory – Dasan Unauthenticated Remote Code Execution

Independent Securiteam

SSD Advisory – Monstra CMS RCE

December 6, 2017 admin Remote Code Execution, SecuriTeam Secure Disclosure

Credit to Author: SSD / Noam Rathaus| Date: Wed, 06 Dec 2017 06:35:44 +0000

Vulnerabilities Summary The following advisory describes a vulnerability found in Monstra CMS. Monstra is “a modern and lightweight Content Management System. It is Easy to install, upgrade and use.” The vulnerability found is a remote code execution vulnerability through an arbitrary file upload mechanism. Credit An independent security researcher, Ishaq Mohammed, has reported this vulnerability … Continue reading SSD Advisory – Monstra CMS RCE

Independent Securiteam

SSD安全公告–Ikraus Anti Virus 远程代码执行漏洞

November 27, 2017 admin Chinese Translation, Remote Code Execution, SecuriTeam Secure Disclosure, Unauthenticated Action

Credit to Author: SSD / Maor Schwartz| Date: Mon, 27 Nov 2017 07:50:39 +0000

漏洞概要以下安全公告描述了在Ikraus Anti Virus 2.16.7中发现的一个远程代码执行漏洞。 KARUS anti.virus“可以保护你的个人数据和PC免受各种恶意软件的入侵。此外，反垃圾邮件模块可以保护用户免受垃圾邮件和电子邮件中的恶意软件攻击。选择获奖的IKARUS扫描引擎，可以有效保护自己免受网络犯罪分子的侵害。 IKARUS是世界上最好的扫描引擎，它每天都在检测未知和已知的威胁。漏洞提交者一位独立的安全研究人员向 Beyond Security 的 SSD 报告了该漏洞厂商响应更新一 CVE: CVE-2017-15643 厂商已经发布了这些漏洞的补丁。获取更多信息： https://www.ikarussecurity.com/about-ikarus/security-blog/vulnerability-in-windows-antivirus-products-ik-sa-2017-0001/ 漏洞详细信息网络攻击者（中间人攻击）可以在运行Ikraus反病毒软件的计算机上实现远程代码执行。 Windows版的Ikarus AV使用明文HTTP和CRC32校验进行更新，以及用于验证下载文件的一个更新值。另外，ikarus检查更新版本号，通过增加更新的版本号，以推动更新进程进行更新。在ikarus中执行更新的可执行文件是guardxup.exe guardxup.exe，通过端口80，发送更新请求如下： [crayon-5a1c8f5b8564c832670696/] 服务器响应如下： [crayon-5a1c8f5b85655113594378/] 通过代理，我们可以修改响应，将“update”值加1，并将响应转发给客户端。然后，客户端将通过此URL请求更新：http://mirror04.ikarus.at/updates/guardxup001005048.full ikarus服务器将返回404： [crayon-5a1c8f5b8565a461056357/] 但我们可以用IKUP格式修改上述响应： [crayon-5a1c8f5b8565f465486246/] 然后，我们将修改过后的响应转发到客户端，在那里用我们的可执行文件替换guardxup.exe。漏洞证明安装mitmproxy 0.17 – pip install mitmproxy == 0.17 要使用这个脚本，在透明代理模式下，通过中间人80端口转发客户端的通信流量。设置你的防火墙规则以拦截8080端口上的通信流量： [crayon-5a1c8f5b85664388983146/] 然后执行如下脚本： ./poc.py file_to_deploy.exe [crayon-5a1c8f5b85668324361117/]

Independent Securiteam

SSD安全公告-思科UCS平台模拟器远程代

November 14, 2017 admin Chinese Translation, Remote Code Execution, Remote Command Execution, SecuriTeam Secure Disclosure, Unauthenticated Action

Credit to Author: SSD / Maor Schwartz| Date: Tue, 14 Nov 2017 12:27:06 +0000

漏洞概要以下安全公告描述了在思科UCS平台模拟器3.1(2ePE1)中发现的两个远程代码执行漏洞。思科UCS平台模拟器是捆绑到虚拟机(VM)中的Cisco UCS Manager应用程序，VM包含模拟思科统一计算系统（Cisco UCS）硬件通信的软件，思科统一计算系统（Cisco UCS）硬件由思科UCS Manager配置和管理。例如，你可以使用思科UCS平台模拟器来创建和测试支持的思科UCS配置，或者复制现有的思科UCS环境，以进行故障排除或开发。在思科UCS平台模拟器中发现的漏洞是：未经验证的远程代码执行漏洞经认证的远程代码执行漏洞一名独立的安全研究者向 Beyond Security 的 SSD 报告了该漏洞。厂商响应厂商已经发布了该漏洞的补丁，并发布以下CVE： CVE-2017-12243 漏洞详细信息未经验证的远程代码执行漏洞由于用户的输入在传递给IP/settings/ping函数时没有进行充分的过滤，导致未经身份验证的攻击者可以通过ping_NUM和ping_IP_ADDR参数注入命令，这些命令将在远程机器上以root身份执行。漏洞证明 [crayon-5a0b6be0a3646409145393/] 通过发送以上请求之一后，思科 UCS响应如下： [crayon-5a0b6be0a364d408882306/] 经认证的远程代码执行漏洞思科UCS平台模拟器容易受到格式字符串漏洞的攻击，导致远程代码执行。思科UCS平台模拟器默认运行一个SSH服务器，通过ssh登录的用户运行以下命令： [crayon-5a0b6be0a3651407130446/] 得到下面的响应： [crayon-5a0b6be0a3653646969713/] 可以看到，通过执行ssh“show sel %x”命令，我们用libsamvsh.so中的system函数覆写了_ZN7clidcos15CommandEmulator16cli_param_filterEPKc函数的入口。漏洞证明为了利用此漏洞，请按照以下说明操作：使用以下用户名和密码在vm上安装ucspe（安装全部3个网卡）：默认的ucspe用户：ucspe 默认的ucspe密码：ucspe 运行ucspe并记下ucspe的ip地址（在控制台可以看到“Connected to IP: ….”）在这次漏洞证明中，我们将会使用ip-192.168.1.43。在另一台机器上打开两个终端（例如Kali）首先，在第一个终端上执行如下操作：创建poc目录，将poc4_ucspe_3.1.2e.py放入poc目录，然后将当前目录改为poc目录创建fifo1： [crayon-5a0b6be0a3656341006860/] 创建输出目录： [crayon-5a0b6be0a3658354860561/] … Continue reading SSD安全公告-思科UCS平台模拟器远程代