Closed h4knet closed 3 years ago
Bonjour @h4knet, ce serait effectivement intéressant si vous pouviez détailler ces vulnérabilités. Merci à vous
Bonjour,
Une injection SQL est présente dans la fonction username_available()
du fichier includes/functions.php
. Cette fonction est appelée par la page login.php
et l'injection SQL peut être exploitée sans authentification préalable.
Le numéro CVE-2020-27886 vient d'y être associé.
Une injection de commandes sur le système est possible pour les utilisateurs ayant accès à la fonctionnalité AutoDiscovery; La problématique est similaire à CVE-2020-8654; le paramètre d'injection est nmap_binary
dans lilac/autodiscovery.php
.
Le numéro CVE-2020-27887 vient d'y être associé.
Ces deux nouvelles vulnérabilités plus l'exploitation de CVE-2020-8655 permet à tout attaquant non authentifié d'exécuter des commandes en tant que root sur un serveur EyesOfNetwork à jour.
Voici un GIF d'un script Python exploitant ces trois vulnérabilités :
Bonjour,
Merci pour votre travail @h4knet pour la communauté cyber,
Par apport à la faille présentée par @h4knet nous avons appliqué la maj que vous préconisez.
Mais je ne trouve aucun patch pour la CVE suivante CVE-2020-9465 (SQLi in API in Cookies). Avez-vous publié un patch pour cet exploit ?
Merci pour votre réponse,
Bonjour, Un correctif corrigeant la faille CVE-2020-27886 a été effectué sur une branche du projet, elle se nomme sql_update_fix et devrait, en temps normal, protéger EON web de n'importe quelle injection sql dès lors que ce sera mis en place. Ce correctif est pour le moment en cours de vérification , dès lors qu'il sera validé, il sera ajouté au projet principal. Pour ce qui est de la faille CVE-2020-27887, nous travaillons dessus et n'avons pas encore trouvé de solution directe à ce problème. Encore une fois, nous publierons le patch à l'instant même où nous aurons trouvé une solution stable et viable.
Merci
Ok merci pour votre retour, ce patch couvrira toutes les versions 5.X de EON ou il sera nécessaire d'upgrade en 5.3 ?
La faille CVE-2020-27886, qui est une faille SQL présente dans la fonction username_available() n'existe pas dans les versions autres que la 5.3 car cette fonction a justement été ajoutée dans la 5.3. Si vous disposez donc d'une version autre que la 5.3, vous n'aurez rien à faire. En revanche si vous êtes en 5.3, il faudra mettre cette dernière à jour quand le patch sera disponible si vous voulez vous prémunir de ce problème.
Merci
Merci pour tout ces détails, mais en relisant mon post, j'ai mentionné la CVE-2020-9465 (SQLi in API in Cookies) et pas la CVE-2020-27886.
Avez-vous prévu des patchs pour cette CVE (CVE-2020-9465) ?
Je vous remercie par avance,
En effet, excusez moi, une issue a déjà été ouverte pour la faille CVE-2020-9465 (la #51) et a été corrigé. Elle est disponible dans la version 5.3-3, disponible ici : https://download.eyesofnetwork.com/repos/5.3/updates/eonweb-5.3-3.x86_64.rpm. Donc pour répondre, oui, il faudra upgrade votre version d'EON en 5.3 si vous voulez vous prémunir de cette faille.
Merci
Bonjour @OscarPoels, savez-vous quand cette vulnérabilité (CVE-2020-27887) sera corrigée ?
Merci :)
Bonjour @NicoleG25, cela devrait être disponible dans la semaine mais rien n'est sur à 100%. Une mention sera faite dans cette issue lorsqu'un patch sera effectué.
Merci
Un nouveau patch a été publié et permet la correction de la faille CVE-2020-27886 ainsi que de se prémunir normalement de toute autre injection SQL. Ce dernier est disponible ici :
Eonweb 5.3-9
Nous vous invitons donc à effectuer un yum update
sur toutes les machines qui ne sont pas à jour.
Pour ce qui est de la faille CVE-2020-27887, aucun correctif n'a été publié. Il a été constaté que sans la combinaison avec une autre faille et sans droit, cette faille ne pose pas de réel problème. De plus , la fonctionnalité autodiscovery étant obsolète et vouée à disparaitre, elle ne sera normalement plus présente dans les prochaines versions d'EON et ne sera donc plus un problème à l'avenir. Si toutefois, un correctif est appliqué, il sera évidemment disponible et mentionné dans cette issue.
Et encore une fois merci à @h4knet pour l'aide et l'intérêt que vous portez à eyesofnetwork et qui est grandement appréciée par l'équipe de développement !
Bonjour,
J'ai identifié de nouvelles vulnérabilités qui, combinées ensemble permettent de prendre le contrôle complet d'un serveur EON à distance mis à jour depuis les versions r7 et r8 de eonweb actuellement publiées dans les paquets officiels.
L'impact est similaire aux codes d'exploitation publiés ici : https://github.com/h4knet/eonrce
J'ai pu valider la présence des vulnérabilités ainsi que l'exploitation de celles-ci pouvant amener à l'exécution de commandes en tant que root sans authentification préalable.
Je peux communiquer les détails des vulnérabilités identifiées ici si vous le souhaitez.