Сулейман Озарслан, PhD

Picus нацелен на сотрудничество со своими партнерами по технологическому альянсу и сообществом специалистов по кибербезопасности для создания лучшей киберзащиты от попыток злоумышленников. Соответственно, у нас есть политика ответственного раскрытия информации об уязвимостях и методах обхода / обхода средств контроля безопасности. Сначала мы уведомили поставщика, и после 30-дневного льготного периода было опубликовано новое обновление сигнатур атак.

Резюме

Мы обнаружили, что команды «rev» и «printf», включенные в функцию подстановки команд оболочки Bash, обходят определенные проверки сигнатур атак продуктов F5 Advanced WAF / ASM / NGINX App Protect. Мы используем эту комбинацию команд в полезной нагрузке выполнения команды, которая создает обратную оболочку для целевого веб-сервера.

Затронутые версии продукта

  • БОЛЬШОЙ IQ 7.X.X, 6.X.X, 5.X.X
  • BIG-IP, BIG-IP AFM, BIG-IP ASM 16.X.X, 15.X.X, 14.X.X, 13.X.X, 12.X.X, 11.6.X
  • Виртуализация сетевых функций, F5 VNF Manager
  • Продукты NGINX, Защита приложений NGINX
  • Traffix SDC 5.X.X
  • F5 App Protect, F5 DDoS Hybrid Defender, F5 SSL Orchestrator 15.X.X, 14.X.X

Если вы хотите узнать больше о MITER и #BuildingProactiveSOC, посетите это виртуальное мероприятие с приглашенными докладчиками из IBM Security, SANS, Carbon Black и Gartner !!

Технические подробности

Старший аналитик red ream и руководитель группы Эврен Ялчин из Picus Labs обнаружил, что определенные проверки сигнатур атак для выполнения команд можно обойти с помощью команды, которая объединяет и команды в подстановке команд. полезная нагрузка для создания обратной оболочки.

Мы создали прослушиватель в системе злоумышленника для прослушивания входящих соединений от обратной оболочки, запущенной в системе жертвы:

Следующая команда является нашей базовой полезной нагрузкой, которая создает обратную оболочку с помощью утилиты netcat, где 127.0.0.1 - это IP-адрес системы злоумышленника.

Как и ожидалось, эта команда легко блокируется WAF. Затем мы попытались использовать команду rev, чтобы обойти WAF. Команда rev в Linux меняет порядок символов в заданном файле или строке, как показано в следующем примере:

Итак, мы попробовали запустить следующую команду:

Однако это дает следующую ошибку:

Затем мы использовали подстановку команд для успешного выполнения команды. Подстановка команд - это функция bash, которая позволяет выполнить команду и ее вывод заменить саму команду.

Синтаксис подстановки команд:

Команда в круглых скобках выполняется, и стандартный вывод команды возвращается как значение выражения.

Сначала мы использовали команду echo в полезной нагрузке подстановки команд следующим образом:

Эта полезная нагрузка обнаруживается WAF как попытка выполнения эха. Затем мы попытались скрыть команду echo с помощью различных методов, таких как следующие полезные данные:

Однако WAF успешно заблокировал полезную нагрузку с той же сигнатурой попытки выполнения «эхо». Затем мы искали альтернативы команде echo в Linux. Следовательно, мы попробовали команду printf:

Он работает как шарм, и его не блокируют подписи WAF! Версия полезной нагрузки запроса на получение выглядит так:

Тестирование брандмауэров веб-приложений

Библиотека угроз Picus включает тысячи полезных нагрузок атак веб-приложений и сотни полезных нагрузок обхода WAF, которые проверяют эффективность брандмауэров веб-приложений. Вышеупомянутая полезная нагрузка включена в библиотеку угроз Picus как:

  • 517874 Удаленное выполнение кода с использованием команды «rev», вариант 7

Кроме того, Picus Threat Library включает в себя следующие угрозы, которые тестируют этот метод обхода:

  • 712592 Удаленное выполнение кода с использованием команды «rev», вариант-1
  • 534607 Удаленное выполнение кода с использованием команды «rev», вариант 2
  • 427419 Удаленное выполнение кода с использованием команды «rev», вариант-3
  • 305724 Удаленное выполнение кода с использованием команды «rev», вариант-4
  • 312553 Удаленное выполнение кода с использованием команды «rev», вариант 5
  • 313570 Удаленное выполнение кода с использованием команды «rev», вариант-6

Если вы хотите узнать, могут ли ваши текущие средства управления безопасностью предприятия блокировать эти типы атак, заполните форму запроса демонстрации.

Смягчения

Команда F5 SIRT оперативно отвечала на каждое письмо в течение одного дня в течение всего процесса и быстро принимала меры по снижению рисков.

Обновления фиксированной сигнатуры атаки:

  • ASM-SignatureFile_20200805_144624.im
  • ASM-AttackSignatures_20200805_144624.im

Фиксированные подписи:

  • 200003974 Попытка выполнения «rev» (Параметр)
  • 200003975 попытка выполнения «rev» (заголовок)
  • 200003984 Попытка выполнения printf (параметр)
  • 200003985 Попытка выполнения «printf» (заголовок)

F5 опубликовала следующие рекомендации и поблагодарила нашего исследователя Эврена Ялчина:

Срок раскрытия:

  • 20.07.2020 Резюме метода обхода, отправленное группе реагирования на инциденты безопасности F5 (F5 SIRT)
  • 21.07.2020 Подробности запрашивает F5 SIRT
  • 21.07.2020 Отчет отправлен на F5 SIRT
  • 22.07.2020 F5 SIRT открыл заявку на обслуживание
  • 23.07.2020 F5 SIRT подтвердил полезную нагрузку и запросил детали
  • 08.05.2020 Подробности отправлены на F5 SIRT
  • 08.06.2020 в выпуске F5 исправлены файлы обновления сигнатур атак ASM
  • 18.08.2020 F5 публикует статью об улучшении сигнатур атак
  • 17.09.2020 Picus Security публично раскрыла метод обхода после 30-дневного льготного периода.

Первоначально опубликовано на https://www.picussecurity.com.