0
0
A Cisco Talos descobriu recentemente várias vulnerabilidades remotas em software que ajudam a alimentar roteadores de Synology. Os bugs existem no Sintology Router Manager (SRM) — um sistema operacional baseado em Linux para roteadores da Synology — e no QuickConnect, um recurso dentro do SRM que permite que os usuários se conectem remotamente aos seus roteadores. Um adversário poderia usar essas vulnerabilidades para realizar uma série de ações maliciosas, incluindo a execução de código remoto no dispositivo, a exposição de informações confidenciais sobre a rede da vítima e a comunicação com outros dispositivos conectados à mesma rede.
De acordo com nossa política de divulgação coordenada, a Cisco Talos trabalhou com a Synology para garantir que esses problemas sejam resolvidos e que uma atualização esteja disponível para os clientes afetados. Uma das vulnerabilidades também afeta o serviço Qualcomm LBD, e a Qualcomm também lançou uma atualização para isso.
Enquanto este post se concentra no SRM em que fizemos a pesquisa, a Synology nos informou que o DSM também foi afetado para:
- TALOS-2020-1058 / CVE-2020-27648
- TALOS-2020-1059 / CVE-2020-27650
- TALOS-2020-1061 / CVE-2020-27652
- TALOS-2020-1071 / CVE-2020-27656
Caminhos para torcer ao redor do mundo
Descobrimos várias vulnerabilidades que nos permitem alcançar privilégios radiculares não treinados no roteador. Além disso, descobrimos que era possível comunicar remotamente com qualquer roteador que estivesse usando o recurso QuickConnect e aumentar nossos privilégios para raiz.
Como um pequeno aparte, para entender como as seguintes vulnerabilidades se interconectam, é importante discutir o QuickConnect. Normalmente, se você quiser gerenciar seu roteador remotamente, você pode tornar a porta gui web acessível a partir da interface WAN, e opcionalmente também usar um serviço DDNS (no caso de sua conexão com a Internet ter um endereço IP dinâmico) para que você possa acessar a GUI web do roteador remotamente usando apenas o host DDNS. O QuickConnect permite evitar tudo isso e colocará o roteador dentro da VPN QuickConnect, expondo a GUI web através deste túnel e a uma URL externa como “http://quickconnect.to/quickconnectid”, onde o “quickconnectid” é escolhido quando o serviço QuickConnect é inicialmente configurado.
De volta à discussão de vulnerabilidades, o esquema a seguir mostra os diferentes caminhos que um invasor poderia tomar para se enraizar:
Neste esquema, nós hipótesemos que um atacante poderia iniciar seu ataque a partir de três posições diferentes:Mesma sub-rede: o atacante está na LAN gerenciada pelo roteador. O atacante está “atrás” do roteador, como em uma configuração clássica em casa. Neste esquema, nós hipótesemos que um atacante poderia iniciar seu ataque a partir de três posições diferentes:
- Mesma sub-rede: o atacante está na LAN gerenciada pelo roteador. O atacante está “atrás” do roteador, como em uma configuração clássica em casa.
- QuickConnect VPN: o invasor é capaz de se conectar à VPN QuickConnect. Isso pode ser feito comprando um roteador e configurando uma conta QuickConnect. Depois que temos um conjunto de credenciais, o roteador não é mais necessário e a conexão pode ser realizada usando openvpn manualmente.
- MITM: o atacante é capaz de realizar um ataque homem-no-meio no caminho entre a interface WAN do roteador e um host de destino na Internet. Este pode ser qualquer outro roteador no caminho (por exemplo, um ISP), um invasor com a capacidade de dNS-poison, um host alvo comprometido, etc.
Observe que a maioria desses problemas permite que um invasor obtenha privilégios administrativos na interface web. No entanto, um administrador pode habilitar ssh e entrar no dispositivo como raiz, portanto, ser administrador na interface web é equivalente a ter privilégios raiz não restrições.
Olhando para o esquema, se na mesma sub-rede, um invasor pode obter raízes de duas maneiras:
- TALOS-2020-1065: vulnerabilidade no lbdda Qualcomm , um serviço acessível via LAN nas portas 7786 e 7787, que podem ser usados sem autenticação para executar diretamente comandos shell como raiz.
- TALOS-2020-1086 juntamente com o TALOS-2020-1087: TALOS-2020-1086 mostra que o cookie de sessão da interface web está faltando o sinalizador “httpOnly”, que permite que o cookie do administrador seja lido via JavaScript. O TALOS-2020-1087 ainda não foi publicado e pode ser usado em conjunto com o TALOS-2020-1086 para obter o acesso do administrador e, por sua vez, privilégios raiz.
Se o invasor for capaz de man-in-the-middle a conexão WAN, um invasor tem três maneiras de obter raízes:
- TALOS-2020-1061: essa vulnerabilidade afeta a conexão VPN QuickConnect do roteador e pode ser usada para forçar qualquer tentativa de conexão HTTPS a ser rebaixada para HTTP. Isso, por sua vez, permite que um invasor roube o cookie de sessão para a interface web. O cookie será enviado em texto simples tanto no lado do roteador quanto no lado do navegador do administrador (por causa da cifra VPN ausente).
- TALOS-2020-1059 juntamente com o TALOS-2020-1060: esses problemas descrevem um downgrade HTTPS para HTTP que acontece no lado do servidor, enquanto um usuário tenta se conectar ao seu roteador via QuickConnect. Ao se conectar ao QuickConnect uma série de redirecionamentos acontecem, no entanto, um deles estava acontecendo à força via HTTP (mesmo que o usuário tenha iniciado a solicitação via HTTPS). O invasor pode farejar a conexão passivamente e roubar o cookie da sessão do administrador, já que não há um conjunto de bandeiras “Seguras”.
- TALOS-2020-1058: O SRM usa uma versão modificada do openvpn para estabelecer o túnel QuickConnect, adicionando uma opção –syno-no-verify que permite que ele se conecte sem verificação de ssl. Apesar do nome, explorar esta questão requer várias etapas complicadas, por isso é melhor ler o aviso para obter detalhes. Eventualmente, isso pode ser explorado para roubar credenciais VPN e replicar uma interface falsa de usuário da Web, que pode ser usada para roubar credenciais de administrador.
Como podemos ver no esquema, a última vulnerabilidade que discutimos (TALOS-2020-1058) também pode ser usada como um ponto de entrada para o QuickConnect VPN. Observe que este é o ponto de entrada de uma cadeia que permite que um invasor obtenha privilégios raiz em qualquer roteador conectado à VPN QuickConnect, remotamente, sem autenticação.
De fato, uma vez que o TALOS-2020-1058 permite roubar credenciais VPN, um invasor pode simplesmente usar openvpn manualmente para se conectar à VPN. Vários roteadores ao redor do mundo se conectam à mesma VPN QuickConnect, mas cada roteador recebe um IP em sua própria sub-rede e normalmente não consegue falar com outras sub-redes.
Neste ponto, o TALOS-2020-1064 demonstra que as sub-redes não são logicamente divididas, na verdade um invasor, depois de se conectar e ter aberto seu endereço IP, pode alterar sua máscara líquida para uma maior, permitindo conversar com qualquer outro roteador conectado à mesma VPN.Normalmente, um invasor também pode enumerar roteadores externamente, por exemplo, adivinhando IDs QuickConnect na URL pública (“http://quickconnect.to/quickconnectid”). Claramente, enumerar IPs em uma sub-rede menor é mais rápido e dá mais resultados.
Nesta fase, o invasor está no estado “Fale com qualquer roteador em VPN QuickConnect” e as interfaces web para qualquer roteador são acessíveis. No TALOS-2020-1066 mostramos que a interface VPN criada pelo dispositivo não é filtrada, de modo que qualquer serviço existente no roteador (mesmo aqueles que nem sequer expostos via LAN) são expostos dentro da VPN. seu equivale a estar na mesma sub-rede do roteador alvo, assim, vulnerabilidades como TALOS-2020-1065,TALOS-2020-1086 e TALOS-2020-1087 podem ser usadas para obter privilégios raiz.
Duas vulnerabilidades adicionais foram identificadas (TALOS-2020-1051 e TALOS-2020-1071) que não fazem parte de uma cadeia e estão listadas na lista de vulnerabilidades no próximo parágrafo.
Detalhes de vulnerabilidade
Sinatologia SRM DHCP monitore o nome do host analisando a vulnerabilidade de negação de serviço (TALOS-2020-1051/CVE-2019-11823)
Existe uma vulnerabilidade de negação explorável do serviço na funcionalidade de análise do nome de host do monitor DHCP da Sinatologia SRM 1.2.3 MR2200ac 8017 e 1.2.3 RT2600ac 8017. Uma solicitação de rede especialmente elaborada pode causar uma leitura fora dos limites, resultando em uma negação de serviço. Um invasor pode enviar um pacote malicioso para desencadear essa vulnerabilidade.
Leia aqui o aviso completo de vulnerabilidade para obter informações adicionais.
Vulnerabilidade de divulgação de informações de autenticação do SRM QuickConnect (TALOS-2020-1058/CVE-2020-27649)
Existe uma configuração errada no perfil sinosearchagent da AppArmor de Synology DSM 6.2.3 25426 DS120j. Um módulo de kernel especialmente elaborado pode ser carregado, levando ao desvio das restrições do AppArmor. Um invasor pode usar o insmod para desencadear essa vulnerabilidade.
Leia aqui o aviso completo de vulnerabilidade para obter informações adicionais.
Sinoagentregisterd server finder out-of-bounds server findy out-of-bounds (TALOS-2020-1059/CVE-2020-27651)
Existe uma vulnerabilidade de gravação fora dos limites na funcionalidade do localizador de servidor sintérgico do Synoagentregisterd Finder functionality of Synology DSM 6.2.3 25426 DS120j. Uma resposta HTTP especialmente trabalhada pode levar à execução remota de código. Um invasor pode man-in-the-middle a conexão para desencadear essa vulnerabilidade.
Leia aqui o aviso completo de vulnerabilidade para obter informações adicionais.Servidores synology QuickConnect HTTP reconduzirem vulnerabilidade de divulgação de informações (TALOS-2020-1060)
Existe uma vulnerabilidade de divulgação de informações explorável na funcionalidade de redirecionamento HTTP dos servidores Synology QuickConnect. Um invasor pode se passar pelos servidores quickconnect remotos para se passar pelo dispositivo remoto e, por sua vez, roubar as credenciais do dispositivo. Um invasor pode realizar um ataque homem no meio para desencadear essa vulnerabilidade.
Como essa vulnerabilidade existia na infraestrutura da Synology, não foi atribuída uma CVE.
Leia aqui o aviso completo de vulnerabilidade para obter informações adicionais.
Sinatologia SRM QuickConnect VULNERABILIDADE de divulgação de informações de conexão HTTP (TALOS-2020-1061/CVE-2020-27653)
Existe uma vulnerabilidade de divulgação de informações explorável na funcionalidade de conexão QuickConnect HTTP do Synology SRM 1.2.3 RT2600ac 8017-5. Um invasor pode se passar pelo ponto final remoto da VPN para rebaixar a conexão HTTPS para HTTP, permitindo que um invasor capture a comunicação da interface web e, por sua vez, roube os cookies da sessão. Um invasor pode realizar um ataque homem no meio para desencadear essa vulnerabilidade.
Leia aqui o aviso completo de vulnerabilidade para obter informações adicionais.
Synology QuickConnect servidors vulnerabilidade de configuração de rede (TALOS-2020-1064)
Existe uma vulnerabilidade de configuração de rede explorável nos servidores VPN do Synology QuickConnect. O servidor não impõe a sub-rede adequada, permitindo que um invasor alcance qualquer dispositivo conectado à VPN. Para abusar dessa vulnerabilidade, o invasor precisa mudar sua sub-rede.
Como essa vulnerabilidade existia na infraestrutura da Synology, não foi atribuída uma CVE.
Leia aqui o aviso completo de vulnerabilidade para obter informações adicionais.
Vulnerabilidade de execução do comando de serviço Sinatologia SRM lbd (TALOS-2020-1065/CVE-2020-27654)
Existe uma vulnerabilidade de execução de comando explorável na funcionalidade de serviço lbd da Qualcomm lbd 1.1, presente na Synology SRM 1.2.3 RT2600ac 8017-5. Um comando de depuração especialmente elaborado pode substituir arquivos arbitrários com conteúdo controlável, resultando em execução remota de código. Um invasor pode enviar uma mensagem não autenticada para desencadear essa vulnerabilidade.
Leia aqui o aviso completo de vulnerabilidade para obter informações adicionais.
Synology SRM QuickConnect iptables vulnerabilidade de configuração de rede (TALOS-2020-1066/CVE-2020-27655)
Existe uma vulnerabilidade de configuração de falha de rede explorável na funcionalidade iptables QuickConnect do Synology SRM 1.2.3 RT2600ac 8017-5. Os pacotes originários da interface VPN QuickConnect não são filtrados, resultando em comunicação irrestrita com qualquer serviço de rede em execução no dispositivo.
Leia aqui o aviso completo de vulnerabilidade para obter informações adicionais.
Synology SRM dnsExit DDNS provider information disclosure vulnerability (TALOS-2020-1071/CVE-2020-27657)
Existe uma vulnerabilidade de divulgação de informações na funcionalidade do provedor dnsExit DDNS do Synology SRM 1.2.3 RT2600ac 8017-5. Um ataque especialmente feito pelo homem no meio pode roubar as credenciais do DNSExit para assumir o subdomínio registrado. Um invasor pode se passar pelos servidores dnsExit remotos para acionar essa vulnerabilidade.
Leia aqui o aviso completo de vulnerabilidade para obter informações adicionais.
Synology SRM web interface session cookie HttpOnly flag information disclosure vulnerability (TALOS-2020-1086/CVE-2020-27658)
Existe uma vulnerabilidade de divulgação de informações explorável na funcionalidade de cookie de sessão de interface web da Synology SRM 1.2.3 RT2600ac 8017-5. O cookie de sessão perde o sinalizador HttpOnly, tornando-o acessível via JavaScript e, assim, permitindo que um invasor realize um ataque XSS e roube o cookie da sessão.
Leia aqui o aviso completo de vulnerabilidade para obter informações adicionais.
Versões testadas
Talos testou e confirmou que TALOS-2020-1051, TALOS-2020-1158, TALOS-2020-1159,TALOS-2020-1061, TALOS-2020-1065, TALOS-2020-1066, TALOS-2020-1071 e TALOS-2020-1086 afetam Synology SRM, versão 1.2.3 RT2600ac 8017-5. O TALOS-2020-1065 também afeta a Qualcomm LBD, versão 1.1. O TALOS-2020-1060 e o TALOS-2020-1064 afetam os servidores Synology QuickConnect.A synology confirmou que o TALOS-2020-1058, TALOS-2020-1059, TALOS-2020-1061, TALOS-2020-1071 afeta a Synology DSM, versão 6.2.3 25426.
Cobertura
As seguintes regras do SNORT(R) de uma versão anterior da regra detectarão tentativas de exploração. Observe que regras adicionais podem ser liberadas em uma data futura e as regras atuais estão sujeitas a alterações pendentes de informações adicionais de vulnerabilidade. Para obter as informações de regras mais atuais, consulte o Centro de Gerenciamento do Poder de Fogo ou Snort.org.
Regras do Snort: 53755, 53756, 53839, 53840, 53959, 54009
FONTE: TALOS