紅隊發現關鍵漏洞,可遠程控制ATM機
2023年年初,Synack Red Team (SRT) 成員 Neil Graves、Jorian van den Hout 和 Malcolm Stagg 發現了CVE-2023-33871、CVE-2023-38257、CVE-2023-35763 和 CVE-2023-35189 漏洞 。
2023年7月,總部位于法國的軟件公司 Iagona 在其 ScrutisWeb 網絡應用程序的 2.1.38 版本中修補了這些漏洞。
一直以來,Synack 紅隊(SRT)全球安全研究人員經常會在 Synack 客戶的基礎架構和網絡服務器中發現漏洞,在某些 Synack 目標上,SRT 成員可以相互協作,最大限度地發揮廣泛的技能組合。
在最近與 Synack 客戶的一次合作中,SRT 某團隊發現了 ScrutisWeb 中存在的軟件缺陷,ScrutisWeb 是一種用于監控銀行和零售 ATM 機群的安全解決方案。
ScrutisWeb的開發商Iagona表示,ScrutisWeb可通過任何瀏覽器訪問,幫助全球各組織監控自動取款機,并在出現問題時縮短響應時間。ATM 機群可包括支票存款機等敏感設備以及連鎖餐廳的支付終端。
ScrutisWeb 具有一系列功能:
- 重新啟動或關閉一個終端或整個機群
- 檢索銀行服務信息
- 監控(ATM)銀行卡讀卡器
- 發送和接收文件(至 ATM)
- 遠程修改數據(在自動取款機上)
目標枚舉
Synack 客戶在此次合作中有超過 1,000 個唯一 IP 地址需要評估。在初步偵查期間,安全研究人員注意到有一個網絡服務器向訪問者發送了一個超大的 23MB JavaScript 文件。該文件中包含一個允許客戶端下載服務器 webroot 中完整路徑的函數:
this.window.location.href = "/Download.aspx?folder=" + name;
安全研究人員發現,提供"/"的文件夾名稱會導致 ScrutisWeb 壓縮整個網絡根,并將其作為下載文件發送到瀏覽器。于是他們按照設計的功能使用該功能下載了網絡根目錄。在檢查 Download.aspx 時發現它調用了 "Scrutis.Front.dll "庫,該庫似乎負責處理大部分用戶功能。
CVE-2023-33871:絕對路徑遍歷
安全研究人員還注意到 "Download.aspx "的參數為 "文件 "或 "文件夾"。同時,他們還很快就找到了真正有趣的部分,即處理單個文件下載的字符串:
str = !path1.Contains(":") ? this.Server.MapPath(path1) : path1.Contains(":");
這段代碼查看的是作為 URL 的 "file "參數傳遞給該方法的 "path1 "變量。如果參數中不包含冒號,網絡服務器將返回與網絡根相關的文件,例如,"https://example.com/Download.aspx?file=thisfile.txt "將下載位于 "https://example.com/thisfile.txt "的文件。但是,如果參數中包含冒號,網絡服務器就會返回與系統相關的文件,例如 "https://www.example.com/Download.aspx?file=c:\file.txt" 將下載服務器上位于 "c:\file.txt "的文件。成功!我們可以從服務器上下載配置、日志和數據庫。
CVE-2023-35189:遠程代碼執行
安全研究人員進一步檢查 Scrutis.Front.dll 后,發現了 AddFile() 方法。AddFile() 接受多部分表單 POST 請求,并將上傳的文件存儲到網絡目錄"/Files/telechar/"中。
這意味著未經身份驗證的用戶可以上傳任何文件,然后通過網絡瀏覽器再次查看。其中一個問題是,最終存放上傳文件的目錄已被配置為允許解釋和執行上傳的腳本。我們創建了一個運行簡單命令 "ipconfig /all "的概念驗證(poc.asp),并將其上傳到服務器。隨后,他們訪問了 "https://[redacted]/poc.asp "網站,服務器執行了系統命令 "ipconfig /all "并返回了響應,成功命令注入。
通常,人們會認為 RCE 是漏洞利用鏈的高潮。在這種情況下,通過利用其余漏洞獲取 ATM 控制器的用戶訪問權限,可以實現更大的惡意價值。可以在 Scrutis.Front.dll 中找到每個有漏洞的調用,并在未經身份驗證的情況下使用。
CVE-2023-38257:不安全的直接對象引用
安全研究人員發現 GetUserDetails 方法原型是將單個整數作為 HTTP POST 請求的輸入。
[HttpPost]public UIUser GetUserDetails([FromBody] int idUser)
同時, idUser 參數似乎是一個從數字 1 開始的連續整數值。通過向該函數發送數字為 1 的 POST,服務返回了用戶 "administrateur "的信息,包括加密密碼。
CVE-2023-35763 硬編碼加密密鑰
由于密碼顯然已加密,安全研究人員決定嘗試逆向工程加密機制。在方法名稱中搜索 "crypt "一詞,顯示了一個解密函數,該函數將密碼文本作為輸入,并返回一個明文 UTF8 字符串。該函數中有一行披露了明文字符串,該字符串被用作加密/解密用戶密碼的加密密鑰:
public static string Decrypt(string cipherString, bool useHashing){...numArray = cryptoServiceProvider.ComputeHash(Encoding.UTF8.GetBytes("ENCRYPTIONKEY"));...return Encoding.UTF8.GetString(bytes);}
安全研究人員編寫了一個簡單的 python 腳本,它可以獲取使用 CVE-2023-38257 發現的加密密碼,并將密碼解密為明文。至此已經可以以管理員身份登錄 ScrutisWeb了。
影 響
CVE-2023-38257 和 CVE-2023-35763 這兩個漏洞讓以管理員身份登錄 ScrutisWeb 管理控制臺成為可能。惡意行為者可以監控機群中各個自動取款機的活動。控制臺還允許將 ATM 降為管理模式、上傳文件、重新啟動和完全關閉。需要進行進一步檢查,以確定是否可以將定制軟件上載到個別自動取款機上,以執行銀行卡外滲、Swift 轉賬重定向或其他惡意活動。不過,此類額外測試不在評估范圍之內。
CVE-2023-35189 還可用于清除 ScrutisWeb 上的日志,并刪除惡意行為者曾在那里活動的證據。從客戶端基礎架構中的這一立足點可能會發生額外的漏洞利用,使其成為惡意行為者面向互聯網的支點。
修復漏洞:盡快更新至 ScrutisWeb 2.1.38 版本
值得一提的是,Iagona 非常重視安全問題,在及時向研究人員通報進展的同時,還迅速解決了四個發現的問題。
