Headline
CVE-2022-43333: Security Advisory: Telenia Software TVOX
Telenia Software s.r.l TVox before v22.0.17 was discovered to contain a remote code execution (RCE) vulnerability in the component action_export_control.php.
L’Offensive Security Team di Swascan ha identificato 3 vulnerabilità sul prodotto Telenia Software TVOX.
Telenia Software TVOX
Telenia Software è un Vendor Italiano presente nel mercato UC&C e Contact Center dal 1994. Sviluppano sistemi di Customer Interaction rivolti a medie e grandi aziende, pubbliche e private che hanno l’obiettivo di migliorare la qualità delle interazioni interne e i processi di supporto clienti Omnicanale misurando la soddisfazione e i livelli di servizio erogati sia nei canali tradizionali (Voce) che nei canali digitali (Mail/Ticket, Webchat, Sms, Video, IoT, WhatsApp, Telegram, Twitter ecc).
Azienda molto attenta e sensibile alle problematiche di sicurezza e la ringraziamo per la collaborazione durante la fase di responsible disclosure.
Descrizione del prodotto
TVOX è un potente strumento di marketing in grado di utilizzare diversi canali di comunicazione per interagire con i clienti.
Technical summary
L’Offensive Security Team di Swascan ha rilevato alcune vulnerabilità sulla ISO scaricabile: TVox 22.0.14
Vulnerability
CVSSv3.1
Attack Vector
Blind OS Command Injection (non autenticato)
9.8 Critical
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Credenziali salvate in chiaro in file di configurazione
9.4 Critical
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
Path Traversal
7.5 High
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nella sezione seguente vengono mostrati i dettagli tecnici delle vulnerabilità rilevate.
Blind OS Command Injection (non autenticato) CVE-2022-43333****Descrizione
L’asset TVOX Web Client è vulnerabile ad attacchi di tipo Blind OS Command Injection da parte di utenti non autenticati.
Un potenziale attaccante sarà in grado di eseguire comandi sul sistema operativo target con il livello di privilegio con cui è in esecuzione il programma effettuando delle semplici richieste GET da browser senza nessun tipo di autenticazione.
Assets
- https://X.X.X.X/t-vox/manager/html/action_export_control.php [pid]
Proof of Concept
Si mostrano di seguito le evidenze della vulnerabilità e di come sia stato possibile eseguire un comando del sistema operativo locale della macchina, nello specifico, come è stata innescata la richiesta di download di un file dalla vps utilizzata nell’attacco.
Evidenza 1 – Richiesta dell’URL con il parametro PID, accodando un secondo comando da eseguire
Evidenza 2 – L’immagine mostra il comando /usr/bin/nc che posto in attesa riceve una connessione dal server
In questo modo, attraverso chiamate successive è stato possibile effettuare l’upload di una web shell in php all’interno di una cartella scrivibile dall’utente locale www-data ed esposta all’esterno, tramite web server:
Evidenza 3 – L’immagine mostra come richiamare la web shell ed eseguire comandi del sistema operativo
Dopo un’attenta analisi è stato rilevato il punto in cui viene innescata la vulnerabilità, nel file:
/opt/telenia/tvox/php/siti/t-vox/t-vox/manager/html/action_export_control.php
Evidenza 4 – Parte di codice che causa la vulnerabilità
Come si vede dall’immagine precedente, la vulnerabilità è innescata in quanto il parametro passato dall’utente al file action_export_control.php non viene validato e viene accodato così com’è al parametro della funzione exec di php, permettendo la concatenazione di istruzioni multiple.
Inoltre tale file è richiamabile dall’esterno e non necessita di autenticazione.
Attraverso chiamate successive è stato possibile ottenere una shell remota sul sistema, permettendo l’accesso alla rete interna.
Evidenza 5 – Accesso alla rete interna ed esecuzione shell remota
Riferimenti
https://owasp.org/www-community/attacks/Command_Injection
https://cwe.mitre.org/data/definitions/78.html
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/OS_Command_Injection_Defense_Cheat_Sheet.md
https://owasp.org/Top10/A03_2021-Injection/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
Credenziali salvate in chiaro in file di configurazione****Descrizione
È stata rilevata la presenza di credenziali non “cifrate” (hashed) all’interno del file di configurazione di Rocket.Chat.
Tale file è accessibile all’interno della distribuzione pubblica dell’applicativo da parte del vendor, e consente l’accesso amministrativo all’applicazione Rocket.Chat.
Proof of Concept
Analizzando la ISO messa a disposizione dal vendor è stato possibile constatare che le credenziali messe in chiaro all’interno del file di configurazione di Rocket.Chat /etc/rocketchat/rocketchat.cfg sono le stesse per l’applicazione nel sistema e hanno permesso l’accesso come amministratore all’appicativo Rocket.Chat
Evidenza 6 – Evidenza delle credenziali utilizzate per accedere all’applicazione Rocket.Chat
Riferimenti
https://owasp.org/www-community/vulnerabilities/Password_Plaintext_Storage
https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
https://cwe.mitre.org/data/definitions/257.html
https://cwe.mitre.org/data/definitions/522.html
https://owasp.org/Top10/it/A04_2021-Insecure_Design/
Path Traversal****Descrizione
La vulnerabilità Path Traversal consente l’accesso a file presenti nel sistema operativo che risiedono al di fuori della web root dell’applicazione. Manipolando le variabili che richiedono i file, attraverso l’uso dei caratteri “…/” o di un path assoluto (eg. C:\…) è possibile accedere arbitrariamente ai file e/o cartelle contenuti nel sistema operativo come il codice sorgente dell’applicazione o file sensibili che risiedono nella macchina.
Assets
- https://X.X.X.X/t-vox/repository_update/get_file_list.php [application]
Proof of Concept
Lo script PHP in oggetto permetteva di listare il contenuto della cartella indicata nel parametro application, senza necessità di autenticazione e tramite una semplice chiamata GET via browser.
Di seguito vengono mostrate le evidenze di come è listare il contenuto di qualsiasi cartella di cui l’utente in esecuzione abbia lettura:
Evidenza 7 – Lista del contenuto cartella /home
Evidenza 8 – Esempio, contenuto della cartella /var/log
Riferimenti
https://cwe.mitre.org/data/definitions/23.html
https://owasp.org/Top10/A01_2021-Broken_Access_Control/
https://owasp.org/www-community/attacks/Path_Traversal
Remediation
Per tutte le remediation alle vulnerabilità descritte si consiglia per chi non l’avesse già fatto di aggiornare il software alla versione 22.0.23 presente all’indirizzo:
https://www.teleniasoftware.com/timeline/tvox-22-0-23/
Disclosure Timeline
- 19-07-2022: Vulnerabilità identificata
- 20-07-2022: Vendor contattato via email (1° tentativo)
- 26-07-2022: Vendor contattato via contatto dal sito (2° tentativo)
- 01-08-2022: Vendor contattato via form di chat sito (risposto, preso accordi via email)
- 08-11-2022: Assegnato cve-id: CVE-2022-43333 per la RCE
- 21-11-2022: Vendor pubblica aggiornamento 22.0.23 con i fix alle vulnerabilità
- 30-11-2022: Swascan pubblica la vulnerabilità
Related news
Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went. Alternative video link (for Russia): https://vk.com/video-149273431_456239136 September was quite a busy month for me. Vulnerability Management courses I participated in two educational activities. The first one is an on-line cyber security course for […]
Telenia Software s.r.l TVox before v22.0.17 was discovered to contain a remote code execution (RCE) vulnerability in the component action_export_control.php.
Under certain circumstances, a vulnerability in Metasys ADS/ADX/OAS 10 versions prior to 10.1.5 and Metasys ADS/ADX/OAS 11 versions prior to 11.0.2 could allow a user to inject malicious code into the MUI Graphics web interface.