Taggat med: IIS

Nyupptäckt sårbarhet i IIS 6.0

Mer än 8 miljoner webbplatser kan vara sårbar för en nyligen identifierad säkerhetsbrist i Internet Information Services (IIS) 6.0. Sårbarheten har utnyttjats på Internet sedan Juli 2016 och identifierades ”in the wild”.

Den sårbara funktionen heter ScStoragePathFromUrl och är en del av WebDAV:

Microsoft Windows Server 2003 R2 allows remote attackers to execute arbitrary code via a long header beginning with ”If: <http://” in a PROPFIND request

Säkerhetsbuggen identifierades av Zhiniang Peng samt Chen Wu vid South China University of Technology Guangzhou, Kina.

Enligt tjänsten BuiltWith så IIS används IIS på 13.8% av alla webbsajter samt IIS 6.0 versionen på 2.3% av alla webbsajter vilket motsvarar cirka 8.3 miljoner sajter.

Behöver Er organisation hjälp med cybersäkerhet? Kontakta Triop AB >

Github så kan du hitta följande exploit som demonstrerar sårbarheten genom att starta upp kalkylatorn i Windows, calc.exe:

https://raw.githubusercontent.com/edwardz246003/IIS_exploit/master/exploit.py

Givetvis ska inte IIS 6.0 användas då detta är en mycket gammal version, men troligtvis så kan det hjälpa att stänga av WebDAV för att förhindra att sårbarheten utnyttjas.

Och här finnes en Snort-signatur (källa):

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-MISC IIS v6
WebDAV ScStoragePathFromUrl overflow attempt"; flow:to_server,established;
content:"PROPFIND"; nocase; http_method; content:"|0a|If|3a|"; nocase;
http_raw_header; isdataat:1000,relative; content:!"|0A|"; http_raw_header;
within:1000; reference:cve,2017-7269; reference:url,github.com/
edwardz246003/IIS_exploit;
classtype:web-application-attack; sid:1; rev:1;)

 

httpoxy – Ny omfattande sårbarhet mot webbapplikationer

httpoxy attack

httpoxy är namnet på en nygammal säkerhetsbrist kan återfinnas i otroligt många ramverk för webbapplikationer. Denna nya bugg gör det möjligt för en angripare att styra om utgående trafik från en webbapplikation.

Buggen kan beskrivas lättast genom följande förfarande:

  1. Angriparen gör ett anrop mot en sårbar applikation och skickar med Proxy-http headern
  2. Applikationen gör en utgående förfrågan efter data och använder sedan uppgifter från angriparens Proxy-http header som proxy
  3. Angriparen kan sedan sätta sig i mitten och genomföra MITM-attack

Nedan listas några programspråk och dess uppsättning som kan vara sårbar för denna attack.

Programspråk Ramverk HTTP-klient
PHP php-fpm
mod_php
Guzzle 4+
Artax
Python wsgiref.handlers.CGIHandler
twisted.web.twcgi.CGIScript
requests
Go net/http/cgi net/http

Åtgärder

För att förhindra denna attack måste först och främst din applikation använda sig av ovan programspråk, ramverk och http-klient. Även så måste din webbapplikation göra utgående http-förfrågningar när en besökare gör sitt anrop.

För att ta bort HTTP_PROXY miljövariabeln som är boven i dramat så kan du som använder Nginx lägga till följande:

fastcgi_param HTTP_PROXY "";

Använder du Apache som webbserver bör du först och främst läsa denna advisory och sedan kan du använda följande direktiv för att ta bort Proxy http-headern:

RequestHeader unset Proxy

Och använder du Microsoft IIS tillsammans med PHP så bör du lägga in följande i din apphost.config:

<system.webServer>
    <rewrite>
        <rules>
            <rule name="Erase HTTP_PROXY" patternSyntax="Wildcard">
                <match url="*.*" />
                <serverVariables>
                    <set name="HTTP_PROXY" value="" />
                </serverVariables>
                <action type="None" />
            </rule>
        </rules>
    </rewrite>
</system.webServer>

Buggen har återkommit under flertalet år i olika ramverk och tyvärr så har den aldrig riktigt åtgärdats.

Säkerhetsbuggen har fått följande CVE-er:

  • CVE-2016-5385: PHP
  • CVE-2016-5386: Go
  • CVE-2016-5387: Apache HTTP Server
  • CVE-2016-5388: Apache Tomcat
  • CVE-2016-1000109: HHVM
  • CVE-2016-1000110: Python

Här hittar du mer information: httpoxy.org