Taggat med: Cisco Talos

Alchimist C2

Cybersäkerhetsforskare vid Cisco Talos har identifierat ett nytt bakdörrsramverk vid namn Alchimist. Ramverket är skrivet i förenklad kinesiska och har även en malware-modul som fått namnet Insekt. Stöd för operativsystem såsom Windows, Mac och Linux återfinnes.

Insekt är skrivet i programspråket GoLang och exploits har identifierats för Linux Polkit (CVE-2021-4034). Talos skriver även att det finns vissa likheter med ett annat kinesiskt bakdörrsramverk vid namn Manjusaka.

Funktioner som implantatet har:

  • Kontrollera filstorlekar
  • Hämta OS-information
  • Kör godtyckliga kommandon via cmd[.]exe
  • Uppgradera det nuvarande Insekt-implantatet
  • Kör godtyckliga kommandon som en annan användare
  • Sov under tidsperioder som definieras av C2
  • Börja/sluta ta skärmdumpar

Även så kontrollerar implantet

För Linux så används den hårdkodade katalogen /tmp/Res/ samt ett statiskt TLS-certifikat för kommunikation:

Mer information finns i Ciscos artikel.

Allvarlig sårbarhet i McAfee ePolicy Orchestrator

Cisco Talos har upptäckt en blind SQL-injection i McAfee ePolicy Orchestrator. ePolicy Orchestrator är en populär mjukvara i många enterprise-nätverk och något som jag ofta stöter på vid mina penetrationstester.

Sårbarheten har fått CVE-2016-8027 och gäller versioner av ePolicy Orchestrator (ePO) 5.1.3 och äldre, ePO 5.3.2 och äldre.

McAfee ePolicy Orchestrator används för att centralt managera klienter som kör McAfee Antivirus. Klienterna pratar med servern över ett protokoll som heter SPIPE och servern har även en webbserver, Apache Tomcat som går på tcp port 8443.

Sårbarheten ligger i hur klientens GUID-värde (unika klient ID) skickas vidare in mot underliggande databas. På grund av en bristande filtrering så går detta värde direkt in mot databasen. Denna sårbarhet gäller dock enbart http post och inte SPIPE-kommunikationen, klienten kan prata med servern på båda protokoll.

För att förhindra denna sårbarhet bör klienter inte ha möjlighet att ansluta direkt på port 8443 till ePO-servern. Detta bör enbart administratörer ha behörighet att göra.

Det är oklart vad detta får för konsekvenser på klienter som använder servern om sårbarheten utnyttjas. Går det exempelvis att köra godtycklig kod på samtliga klienter?

CVSS3 (Common Vulnerability Scoring System) enligt följande:

8.2 - CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

Mer tekniska detaljer om sårbarheten finnes i Cisco Talos detaljerade rapport.