ASA-2019-00046 – Lifesize: Injeção remota de comandos do SO através de usuário autenticado


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00046

Identificador(es)

ASA-2019-00046, CVE-2019-7632

Título

Injeção remota de comandos do SO através de usuário autenticado

Fabricante(s)

Lifesize

Produto(s)

Lifesize Team
Lifesize Room
Lifesize Passport
Lifesize Networker

Versão(ões) afetada(s)

Todas as versões

Versão(ões) corrigida(s)

Desconhecido

Prova de conceito

Desconhecida

Descrição

Todos os produtos LifeSize que usam PHP para a GUI sofrem de muitos ataques de injeção de comando.

Detalhes técnicos

Olhando para o código PHP de mtusize.php em /support/ por exemplo:

$new_mtu_size=$_REQUEST['mtu_size'];
{
print("<hr>\n");
$output = shell_exec( "/usr/local/lifesize/cli/mtusize set $new_mtu_size" );
echo "<pre>$output</pre>";
}

Uma entrada do usuário é tomada como é de $_REQUEST[‘mtu_size’] e depois passada sem qualquer validação em “shell_exec”, permitindo que um atacante autenticado injete qualquer código para ser executado no sistema. Por exemplo, o valor “1; whoami” iria injetar o comando whoami e executá-lo no sistema.

O diretório /support/ requer autenticação, no entanto, o padrão é cli:lifesize, que ignora a necessidade de autenticação em muitos casos.

Créditos

Simon Kenin (Trustwave)

Referência(s)

Trustwave SpiderLabs Security Advisory TWSL2019-001: Vulnerabilities in LifeSize Products
https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=22113

Lifesize Team, Room, Passport & Networker Remote OS Command Injection
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/lifesize-team-room-passport-networker-remote-os-command-injection/

CVE-2019-7632
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7632

CVE-2019-7632
https://nvd.nist.gov/vuln/detail/CVE-2019-7632

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 10 fevereiro 2019