NAS 與 CVE 之間的距離 / ddaa

NAS：網路附加儲存裝置，現今會加儲存裝置。
但目前由於Open Source 所以風險增高

• CVE 每個CVE編號會應對唯一漏洞

• CWE 漏洞的root Cause 分類標準

• CVSSv3

  • 攻擊向量AV
    • 網路(Network)
    • 協定(Adjacent)
    • 本機(Local)
    • 實體(Physical)
  • Attack Complexity(AC)
    • Low
    • High
  • Privileges Requireed(PR)
    • 登入驗證
  • User interaction(UI)
    • ex.XSS

  Scope
  機密性 Confidentialtiy.明碼密碼
  完整性 Integrity.Log Fogging
  可用性 Availability.ex.Dos

  可能不同組織，計算分數的基準評分不同。

ROOT CAUSE

Severity

CVE 2017-0372 MediaWiki

​​​​MediaWiki 內建套件預設不啟用
​​​​由於權限受限，故做的項目是有限的
​​​​Securgumen Injection or Moditfication
​​​​
​​​​>>Code Review
​​​​由於用完整字串，用逗號接起來,
​​​​所以syntaxHightlight (使用Wiki syntax語法)
​​​​使用symfony.Process Builder(php library)
​​​​
​​​​shell command
​​​​>-l java \
​​​​>-O start=0,full=1,title=,\     >> 原本只接受數字 0 ，但由於後面餵其他參數，故一樣接受指令
​​​​
​​​​
​​​​#Qnap 也有 XSS 這個弱點
​​​​發生原因，把start傳入，而沒有檢查。
​​​​改善：加上型別檢查，並且可以做型別轉換

CVE-201705223 PHP

​​​​CodeReview

​​​​addEmbeddedImage()

可以透過電子郵件傳染，OUTLOOK 沒辦法寄送郵件，但可以透過Burpsuite改完再寄出。((超壞
修復：因為basedir 空字串，應該不允許透過 url 存取檔案
檢查url是否是出現dot-dot, 避免path 繞過

CVE-2017-7494

​​​​要有SMB寫入權限才能觸發漏洞
​​​​metasploit 裡面已經可以實作了
​​​​
​​​​
​​​​Code Review
​​​​    … 
​​​​    
​​​​上傳時偷塞入|  

​​​​所以是功能(feature)還是Bug？
​​​​是因為client \\PIPE\test 但Samba server 以絕對路徑去載入 /test 沒有去做檢查，
​​​​就成功了。
​​​​
​​​​修復：
​​​​smb.conf 中關閉目錄絕對路徑瀏覽，也可以用 metasploit 去調整
​​​​或去過濾傳入的內容路徑 (/) 

CVE-2018-1160 Netatalk

​​​​Remote Code Exction
​​​​其實是Buffer Over 導致的問題，沒有檢查字串欄位，所以memcpy 的size 可控
​​​​dsi>command 給值的size 可控
​​​​
​​​​足夠長的Payload 把參數蓋掉。
​​​​就能直接蓋掉command 的命令位置。
​​​​所以是Buffer Overflow，可以繞過認證，造成address 寫入任意 data
​​​​<heap圖>  

CVE-2018-10387

​​​​來不及抄 =V=|||

CVE-2018-10388 OpenTFTP

由於 optenftpd 自行處理log，無法觸發fmt string漏洞

CVE-2018-10388 Open TFTP(QNAP)

TFTP 無認證機制，故允許打穿。

TFTP Format 實作 RFC2349 <看圖那好像很難>

不能用常用的方式：%x %p %s
不能用sprintf()
不能疊stack，因為會被清掉

讀檔的服務：
檔案名稱是不是有包含 ../ 如果有的話，就不處理無效檔案
但由於是寫在另外一個檔，但這個檔可以被覆寫… 所以改掉就可以上傳，然後就可以任意讀檔了。

逆向 reverse shell command
(1)複寫 atol.got to system()
(2)取消設定，然後就允許疊 stack

就有機會 RCE

更精簡的方式…

CVE-2018-10388 OPEN FTTP

如果opentfppd 自行處理log，無法觸發stack overflow

(QNAP) >>

Proof of Concept
可以蓋掉stack，結果就爛掉了
但後來發現有一個,%n做結尾

會被換行。x64環境不行，但x86的環境有機會。(4bytes 所以可，但有保護)

(Asustor) >>
硬要打，就成功了…
長度有限制，但不夠嚴謹，所以還是有機會可以蓋過stack
即使最後有個%0a，但不重要，該蓋的都有蓋掉，沒問題。

CVE-2018-10387 OPen TFTP (Synology)

前提要有讀取檔案目錄的權限。
能存取到，才會分配heap的空間出來，才有機會能造成heap overflow。

版本利用會相關複雜一點，blksize 有做限制 512-65536 bytes，故其實利用上較難。

而且還有connect timeout 才有機會free 掉 buffer
pwnable.tw 來玩來玩～

TFTP on internet, 共 138867 筆
看Shodan 上的錯誤訊息看有沒有機會。

講者的工作到底是檢查自家的 NAS 有沒有問題還是打別人家的 NAS 啊 (X

tags: HITCONCMT2019,HITCONCMT,HITCON