Hello there, ('ω')ノ
ファイルのダウンロード パラメータを悪用してマルウェア配信の潜在的なリスクを生み出すを。
脆弱性:
CSRF
RCE
記事:
ここでは、ファイルのダウンロード パラメータが悪用されてマルウェア配信の
潜在的なリスクが発生することが判明した脆弱性を。
このプログラムには、商用デバイスによって形成されたネットワークを
管理するために使用されるサブドメインが含まれていて。
所有者は、ドメインに管理者として登録でき、ネットワークを管理するために
ドメイン内に管理者および従業員の役割を持つ他のユーザを追加することもでき。
在庫管理、請求管理、ユーザ管理など、ネットワークとデバイスを管理するための
多くの機能が存在して。
ドメイン ページの 1 つで、請求書のリストを .xlsx (Excel シート) 形式で
ダウンロードできるダウンロード オプションを見つけ。
Burp プロキシでリクエスト形式を確認すると、これは csrf_token、ファイル名、
データという主要なパラメータを持つ POST リクエストであることがわかり。
請求書のリストをダウンロードするための POST リクエスト
いくつかのテストの結果、3 つの主要なパラメータすべてが次の意味で脆弱で
あることがわかり。
1.csrf_token: リクエストは CSRF 攻撃に対して脆弱で。
トークンを削除しても、ファイルはダウンロード可能で。
2.filename: リクエストは拡張子フィルターのバイパスに対して脆弱で。
自分が制御する拡張子を挿入して、ファイルの性質を変更することができて。
ファイルを実行可能ファイル
(Windows ターゲットの場合は .exe、Linux ターゲットの場合は .sh) に
変換できるためこれは主要な攻撃ベクトルで。
3.data: リクエストはファイル データの上書きに対して脆弱で。
データを変更することができ、ダウンロードすると、そのファイルには
攻撃者として注入されたデータが含まれていて。
上記の要因を連鎖させることで、「data」パラメータを制御して
マルウェアを挿入し、「filename」パラメータでファイルを
実行可能ファイルに変換し、最終的に CSRF の脆弱性を利用してファイルを
被害者に配信することができて。
アプリケーションでは拡張子が .csv のファイル名のみを許可していたため、
拡張子フィルターをバイパスしてファイルを実行可能ファイルに変換するには、
工夫が必要で。
これを回避するために、ファイル名「invoices.sh%22.csv」を使用して。
(.csv の前のファイル名を閉じるには、.sh の後に二重引用符が必要だったので、
「filename」パラメーターの値のエンコードにより %22 を使用して)
PoC では、Linux の被害者をシミュレートし、「data」値
#!/bin/bash%0a#PoC%20script%0atouch%20File. Attack
でファイルをダウンロードして。
したがって、.sh 拡張子が付いた bash スクリプトが被害者のデバイスに
ダウンロードされ。
これを実行すると、PoC スクリプトの結果として File. Attack というファイルが
作成されて。
Best regards, (^^ゞ
