(R2)戴尔SonicWALL /设备/许可证。jsp远程特权升级序列号信息披露

在写一个检测插件,站得住脚的发现一个额外的漏洞,允许远程、未经身份验证的攻击者获得管理员访问通用管理主机(UMH)或通用管理设备(UMA)戴尔SonicWALL GMS /分析仪系统的接口。

产品设计允许用户重置密码的用户“admin”“密码”。要做到这一点,用户必须提供一个有效的密码重置键(pwdResetKey)。,关键是产品的序列号(SN)许可与一个密钥加密连接形成的第一个6字节的SN和一个神奇的字符串(我们没有披露,但不难算出)。欧洲央行3 des加密算法使用模式。所以保密的pwdResetKey完全取决于SN,访问没有身份验证通过/设备/ license.jsp脚本。如果产品不注册/许可,/设备/ license.jsp将显示:

[margay@wiedii sonicwall] # curl - s http://192.168.168.129/appliance/license。jsp | grep - i“序列号”< td colspan = 3 =右对齐类= bodyFont >编号:<字体类= " controlFont " >不注册< / font > < / td >

在本例中,字符串“密码”期间用于SNpwdResetKey计算。知道SN,攻击者可以计算pwdResetKey和重置管理员密码的密码”。她可以登录和访问完整的功能在UMH /乌玛,其中包括,但不限于,如下:

• 服务包/热补丁应用到产品。这可能允许攻击者不怀好意地上传自定义/修改产品文件。
• 配置主机的作用。攻击者可以改变角色配置,配置为禁用/停止服务的作用。
• 更改管理员帐户的密码(管理)。攻击者可以否认UMH /乌玛对合法用户的访问。

的pwdResetKey验证了com.sonicwall.appliance.servlets.AuthenticationFilterservlet。

注意,虽然CVSSv2分数反映部分完整性(如操作密码),直接影响后续完成控制软件。这一点有点误导,但符合CVSSv2指南。