All your appliances are belong to us

274 views

Published on

Talk given in Navaja Negra conference 2012 about appliances security with Rubén Garrote García

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
274
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

All your appliances are belong to us

  1. 1. CATS: ALL YOUR APPLIANCES ARE BELONG TO US NAVAJA NEGRA Conference
  2. 2. DisclaimerLorem ipsum dolor sit amet, consectetur adipiscing elit. Donec non risuseros. Suspendisse ac quam et augue malesuada venenatis. Fuscecondimentum libero ac tellus sagittis convallis. Nullam ut enim nisl.Suspendisse tincidunt elit eget turpis consectetur mollis lacinia felisaliquam. Esta charla es con fines educativos y deconcienciación. Curabitur et libero leo, vel mattis ipsum. Maurislaoreet nibh ac mauris convallis at lacinia eros rutrum. Donec porttitorsemper neque, eu fringilla mi egestas at. Donec gravida aliquam sem,sed ornare nisi euismod ut. Etiam sed odio ut nisi egestas rhoncus ut velaugue. In hac habitasse platea dictumst. Phasellus eros turpis, varius acsodales sit amet, lobortis non elit.
  3. 3. Dos dementes contra el mundo Alejandro Nolla Blanco Threat Intelligence Analyst Apasionado del networking @z0mbiehunt3r Rubén Garrote García Consultor de seguridad / Pentester Apasionado del reversing @boken_ Esta diapositiva está patrocinada por
  4. 4. Agenda Full Disclosure Vs Responsible Disclosure ¿Por qué auditar nuestros appliances? Situación actual Demo! Conclusiones y recomendaciones
  5. 5. Pero no toques, ¿por qué tocas? “El trasto este viene hardenizado de serie” ¿Para qué comprometer un appliance? Pero eso... será complicado, ¿no? Yo no estoy comprometido - ¿Cómo lo sabes?
  6. 6. Pero no toques, ¿por qué tocas?¿Estás seguro de que puedes confiar ciegamente?
  7. 7. Out-of-the-box (in)security
  8. 8. Out-of-the-box (in)security Symantec Web Gateway 5.0.x.x CVE Fallo CVE-2012-2953 command execution CVE-2012-2957 local file inclusion CVE-2012-2574 Blind SQL injection CVE-2012-2961 SQL injection CVE-2012-2976 shell injection CVE-2012-2977 Cambio arbitrario de credenciales
  9. 9. Out-of-the-box (in)securityExamination of a certificate chain generated by a Cyberoam DPI device shows that all suchdevices share the same CA certificate and hence the same private key. It is thereforepossible to intercept traffic from any victim of a Cyberoam device with any other Cyberoamdevice - or to extract the key from the device and import it into other DPI devices, and usethose for interception.
  10. 10. Out-of-the-box (in)security
  11. 11. Out-of-the-box (in)security
  12. 12. WANTED Fallos Web Usuarios no documentadoS Claves SSH Certificados SSL Puertas traseras Escalada de privilegios Para más información visitar el proyecto Common Weakness Enumeration (http://cwe.mitre.org)
  13. 13. OS Injectiondo_addvs(){ # We are now going to handle a POST which is a real add # echo "<!-post = $post>" # vip=&port=&protocol=tcp&Commit=Add+VIP […] grep -v "^%.*%" $f | sed -e "s/%PORT%/$port/" -e "s/%VIP%/ $vip/" -e "s/%PROT%/$protocol/" -e "s/%NAME%/$FFF/"> $VIF […]}
  14. 14. Súper C RF (allí donde se le necesite)Creamos un usuario nuevoGET /config/password.php?action=edituser&t=1326400365&username=new_user&pass=new_pass&group=report&type=new&go=Add+New+User HTTP/1.1Hacemos admin a cualquier usuarioGET /config/password.php?action=edituser&t=000&username=new_user&pass=new_pass&group=config&uid=4&go=Edit+User HTTP/1.1Cambiamos la contraseña a cualquier usuarioGET /config/password.php?action=edituser&t=1326152517&username=admin&pass=123abc.&uid=0&go=Edit+User HTTP/1.1
  15. 15. Tirando la casa por la ventana... function validate_key($key) { [...] $keys_va_r16 = array("CrUC7e3en2cH", "P4E5RAswaR4c", "YaYaY5w2ZaPr", [...] "w9E4edasuthe", "drub8spaT7uj"); if (in_array($key, $keys_va_r16)) { cp($model_va_r16, $model_current); } […] write_licence(False, 0); echo "<center><p>Licence activated.</p></center>";
  16. 16. ¿Cómo encontrar estos fallos? Auditoría tipo “caja negra” y/o “caja blanca” Análisis estático y/o dinámico Mediante fuzzing RTFC (Read The Fucking Code)
  17. 17. Consecuencias ✗ Bypass de las medidas de protección ✗ Compromiso total del dispositivo ✗ Aumento de la intrusión ✗ Interceptación del tráfico de red
  18. 18. Aumentando la intrusión - I DMZ GET /blablabla HTTP1.1INTERNET RED INTERNA
  19. 19. Aumentando la intrusión - II DMZ Conexión SSHINTERNET RED INTERNA
  20. 20. Its show time!
  21. 21. Conclusiones➢ Si auditas tus aplicaciones, ¿por qué no tus appliances?➢ ¿Por qué implantar algo que desconocemos?➢ En todas partes se cumplen plazos de entrega
  22. 22. Recomendaciones✔ Nunca confíes ciegamente en nada✔ Disminuir la superficie de exposición✔ Revisar la infraestructura existente✔ En caso de duda, el entorno es hostil
  23. 23. Rondita de preguntas Rubén Garrote @Boken_ rubengarrote@gmail.com Alejandro Nolla @z0mbiehunt3r alejandro.nolla@gmail.com

×