For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00046
Identificador(es)
ASA-2019-00046, CVE-2019-7632
Título
Injeção remota de comandos do SO através de usuário autenticado
Fabricante(s)
Lifesize
Produto(s)
Lifesize Team
Lifesize Room
Lifesize Passport
Lifesize Networker
Versão(ões) afetada(s)
Todas as versões
Versão(ões) corrigida(s)
Desconhecido
Prova de conceito
Desconhecida
Descrição
Todos os produtos LifeSize que usam PHP para a GUI sofrem de muitos ataques de injeção de comando.
Detalhes técnicos
Olhando para o código PHP de mtusize.php em /support/ por exemplo:
$new_mtu_size=$_REQUEST['mtu_size'];
{
print("<hr>\n");
$output = shell_exec( "/usr/local/lifesize/cli/mtusize set $new_mtu_size" );
echo "<pre>$output</pre>";
}
Uma entrada do usuário é tomada como é de $_REQUEST[‘mtu_size’] e depois passada sem qualquer validação em “shell_exec”, permitindo que um atacante autenticado injete qualquer código para ser executado no sistema. Por exemplo, o valor “1; whoami” iria injetar o comando whoami e executá-lo no sistema.
O diretório /support/ requer autenticação, no entanto, o padrão é cli:lifesize, que ignora a necessidade de autenticação em muitos casos.
Créditos
Simon Kenin (Trustwave)
Referência(s)
Trustwave SpiderLabs Security Advisory TWSL2019-001: Vulnerabilities in LifeSize Products
https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=22113
Lifesize Team, Room, Passport & Networker Remote OS Command Injection
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/lifesize-team-room-passport-networker-remote-os-command-injection/
CVE-2019-7632
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7632
CVE-2019-7632
https://nvd.nist.gov/vuln/detail/CVE-2019-7632
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 10 fevereiro 2019