El investigador Matt
Bergin (@thatguylevel) de KoreLogic ha descubierto una vulnerabilidad que
permite la inclusión local de ficheros (LFI, Local File Inclusion) en Sophos
UTM 9.
Cualquier usuario con
permiso de lectura sobre los registros puede leer cualquier archivo del sistema
local utilizando una cuenta de usuario con privilegios limitados. Esto puede
usarse para leer el fichero de registro 'confd' y obtener privilegios de root a
través de su identificador de sesión SID'.
El cliente 'confd' no
está permitido para las cuentas de usuarios, pero es posible enumerar un
directorio que contiene subdirectorios cuyo nombre son los identificadores de
sesión (SID). Se pueden realizar solicitudes de nombres de usuarios, como por
ejemplo el usuario admin.
Cualquier usuario con
permisos de acceso a la funcionalidad 'Loggin & Reporting' dentro de la
aplicación de administración puede leer ficheros del sistema. En la imagen
vemos la petición 'POST' que se hace y como está construida, el valor 'SID'
corresponde con el usuario admin.
Al disponer de los
valores 'SID' podemos filtrar los identificadores de sesión de los usuarios con
mayores privilegios, por ejemplo si explotamos esta vulnerabilidad usando una
cuenta de administrador podremos usarla para cambiar el directorio raíz y las
contraseñas de los usuarios registrados.
Recomendación
- El equipo de Sophos ha lanzado la versión 9.503 que corrige esta vulnerabilidad. Se recomienda actualizar lo más pronto posible.
- URL de la publicación https://www.korelogic.com/Resources/Advisories/KL-001-2017-020.txt
- SecList http://seclists.org/fulldisclosure/2017/Oct/57
- Versión de Sophos UTM 9 actualizada. https://community.sophos.com/products/unified-threat-management/b/utm-blog/posts/utm-up2date-9-503-released
