Vulnerabilidades

Las configuraciones DSL de Kotlin generadas permitieron el uso de una conexión sin cifrar para resolver artefactos. El problema se solucionó en JetBrains TeamCity 03.02.2018.

Un usuario sin los permisos necesarios podría obtener acceso a algunas configuraciones de TeamBity de JetBrains. El problema se solucionó en TeamCity 02.02.2018.

nsd-checkzone en NLnet Labs NSD versión 4.2.0 tiene un Desbordamiento de búfer basado en pila en la función dname_concatenate () en dname.c.

El Amcrest IPM-721S Amcrest_IPC-AWXX_Eng_N_V2.420.AC00.17.R.20170322 permite solicitudes HTTP que permiten habilitar varias funcionalidades de la cámara mediante API HTTP, en lugar de la interfaz de administración web que proporciona la aplicación. Esta API HTTP recibe las credenciales como base64 codificada en el encabezado HTTP de Autorización. Sin embargo, una verificación de longitud faltante en el código le permite a un atacante enviar una cadena de 1024 caracteres en el campo de contraseña, y le permite a un atacante aprovechar un problema de corrupción de memoria. Esto puede permitir a un atacante eludir el mecanismo de protección de la cuenta y forzar las credenciales. Si la versión del firmware Amcrest_IPC-AWXX_Eng_N_V2.420.AC00.17.R.20170322 se diseca con la herramienta binwalk, se obtiene un archivo _user-x.squashfs.img.extracted que contiene el sistema de archivos configurado en el dispositivo que tiene muchos de Los binarios en la carpeta / usr. El "sonia" binario es el que tiene la función vulnerable que realiza la comprobación de credenciales en el binario para la especificación de la API HTTP. Si abrimos este binario en IDA Pro, notaremos que esto sigue un formato ARM little-endian. La función en la dirección 00415364 en IDA Pro inicia el proceso de autorización HTTP. Esta función llama a otra función en sub_ 0042CCA0 en la dirección 0041549C. Esta función realiza una operación strchr después de que la base64 decodifique las credenciales, y almacena el resultado en la pila, lo que resulta en un desbordamiento de búfer stack-based.

El control de acceso incorrecto en el componente de restablecimiento de contraseña en Odoo Community versión 11.0 y versiones anteriores y Odoo Enterprise versión 11.0 y versiones anteriores permite a los usuarios autenticados restablecer la contraseña de otros usuarios al ser la primera persona en utilizar el token seguro.

Los dispositivos Amcrest IPM-721S V2.420.AC00.16.R.20160909 tienen credenciales predeterminadas que están codificadas en el firmware y pueden ser extraídas por cualquiera que invierta el firmware para identificarlas. Si la versión del firmware V2.420.AC00.16.R 9/9/2016 se diseca con la herramienta binwalk, se obtiene un archivo _user-x.squashfs.img.extracted que contiene el sistema de archivos configurado en el dispositivo que muchos de los binarios en la carpeta / usr. El "sonia" binario es el que tiene la función vulnerable que configura las credenciales predeterminadas en el dispositivo. Si uno abre este binario en IDA-pro, notará que sigue un formato ARM en little endian. La función sub_3DB2FC en IDA pro se identifica para configurar los valores en la dirección 0x003DB5A6. El sub_5C057C luego establece este valor y lo agrega a los archivos de Configuración en el archivo / mnt / mtd / Config / Account1.

Los dispositivos Amcrest IPM-721S V2.420.AC00.16.R.20160909 tienen una política de tiempo de espera para esperar 5 minutos en caso de que se detecten 30 intentos de contraseña incorrectos mediante la interfaz web y API de HTTP proporcionada por el dispositivo. Sin embargo, si se realiza el mismo intento de fuerza bruta utilizando la especificación ONVIF (que es compatible con el mismo binario), entonces no se ejecuta el bloqueo de la cuenta o el tiempo de espera. Esto puede permitir a un atacante eludir el mecanismo de protección de la cuenta y forzar las credenciales. Si la versión del firmware V2.420.AC00.16.R 9/9/2016 se diseca con la herramienta binwalk, se obtiene un archivo _user-x.squashfs.img.extracted que contiene el sistema de archivos configurado en el dispositivo que muchos de los binarios en la carpeta / usr. El "sonia" binario es el que tiene la función vulnerable que realiza la verificación de credenciales en el binario para la especificación ONVIF. Si uno abre este binario en IDA-pro, notará que sigue un formato ARM little endian. La función en la dirección 00671618 en IDA pro es analizar el encabezado del token de seguridad WSSE. El sub_ 603D8 luego realiza la verificación de autorización y si es incorrecto pasa a la función sub_59F4C que imprime el valor "Remitente no autorizado".

Los dispositivos Amcrest IPM-721S V2.420.AC00.16.R.20160909 no se manejan correctamente durante las últimas dos horas. Los servicios en la nube de Amcrest no realizan una verificación exhaustiva cuando permiten que el usuario agregue una nueva cámara a la cuenta del usuario para garantizar que el usuario sea el propietario de la cámara, aparte de saber el número de serie de la cámara. Esto puede permitir que un atacante que conoce el número de serie agregue fácilmente la cámara de otro usuario a la cuenta de la nube de un atacante y la controle completamente. Esto es posible en el caso de que cualquier cámara que actualmente no sea parte de una cuenta en la nube de Amcrest o haya sido eliminada de la cuenta en la nube del usuario. Además, otro requisito para un ataque exitoso es que el usuario debería haber reiniciado la cámara en las últimas dos horas. Sin embargo, ambas condiciones son muy probables para las nuevas cámaras que se venden a través de Internet en muchos sitios web de comercio electrónico o proveedores que venden los productos Amcrest. El ataque con éxito hace que un atacante pueda controlar completamente la cámara, lo que incluye poder ver y escuchar lo que la cámara puede ver, poder cambiar la configuración de detección de movimiento y también poder apagar la cámara sin que el usuario esté consciente de ello. Nota: El mismo ataque se puede ejecutar utilizando la aplicación móvil Amcrest Cloud.

Los dispositivos Amcrest IPM-721S V2.420.AC00.16.R.20160909 permiten que un atacante no identificado descargue las credenciales administrativas. Si la versión del firmware V2.420.AC00.16.R 9/9/2016 se diseca con la herramienta binwalk, se obtiene un archivo _user-x.squashfs.img.extracted que contiene el sistema de archivos configurado en el dispositivo que muchos de los binarios en la carpeta / usr. El "sonia" binario es el que tiene la función vulnerable que configura las credenciales predeterminadas en el dispositivo. Si uno abre este binario en IDA-pro, notará que sigue un formato ARM little endian. La función sub_436D6 en IDA pro se identifica para configurar la configuración del dispositivo. Si uno se desplaza a la dirección 0x000437C2, se puede ver que / current_config se está configurando como ALIAS para la carpeta / mnt / mtd / Config en el dispositivo. Si se coloca un TELNET en el dispositivo y se navega a la carpeta / mnt / mtd / Config, se puede observar que contiene varios archivos como Account1, Account2, SHAACcount1, etc. Esto significa que si se navega a http: // [IPofcamera] / current_config / Sha1Account1 entonces uno debería poder ver el contenido de los archivos. Los investigadores de seguridad asumieron que esto solo era posible después de la autorización en el dispositivo. Sin embargo, cuando se realizaron pruebas de acceso no autenticado para la misma URL que se proporcionó anteriormente, se observó que el archivo del dispositivo podía descargarse sin ninguna autorización.

En los dispositivos Amcrest IPM-721S V2.420.AC00.16.R.20160909, los usuarios del dispositivo se dividen en 2 grupos "admin" y "usuario". Sin embargo, como parte del análisis de seguridad, se identificó que un usuario con pocos privilegios que pertenece al grupo de "usuarios" y que tiene acceso para iniciar sesión en la interfaz administrativa web del dispositivo puede agregar un nuevo usuario administrativo a la interfaz mediante HTTP Las API proporcionadas por el dispositivo y realizar todas las acciones como un usuario administrativo mediante el uso de esa cuenta. Si la versión del firmware V2.420.AC00.16.R 9/9/2016 se diseca con la herramienta binwalk, se obtiene un archivo _user-x.squashfs.img.extracted que contiene el sistema de archivos configurado en el dispositivo que muchos de los binarios en la carpeta / usr. El "sonia" binario es el que tiene las funciones vulnerables que realizan las diversas acciones descritas en las API de HTTP. Si uno abre este binario en IDA-pro, notará que sigue un formato ARM little endian. La función en la dirección 0x00429084 en IDA pro es la que procesa la solicitud de API HTTP para la acción "addUser". Si se rastrean las llamadas a esta función, se puede ver claramente que la función sub_ 41F38C en la dirección 0x0041F588 analiza la llamada recibida desde el navegador y la pasa a la función "addUser" sin ninguna verificación de autorización.

El saneamiento inadecuado de las expresiones de usuario dinámicas en Odoo Community versión 11.0 y versiones anteriores y Odoo Enterprise versión 11.0 y versiones anteriores permite a los usuarios con privilegios autenticados un escape de sanbox de expresiones dinámicas y ejecutar código arbitrario en el sistema de alojamiento.

En BIG-IP 12.1.0-12.1.4.1, las solicitudes no reveladas pueden hacer que los procesos REST de iControl se bloqueen. El ataque solo puede venir de un usuario identificado; Todos los roles son capaces de realizar el ataque. Los usuarios no identificados no pueden realizar este ataque.