📚 Observium Network Monitor /includes/common.inc.php erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine kritische Schwachstelle in Observium Network Monitor - die betroffene Version ist nicht klar definiert - gefunden. Es geht dabei um eine unbekannte Funktion der Datei /includes/common.inc.php. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Unserialize) ausgenutzt werden. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Entdeckung des Problems geschah am 01.09.2016. Die Schwachstelle wurde am 10.11.2016 durch Ronald Volgers als [CT-2016-1110] Unauthenticated RCE in Observium network monitor in Form eines bestätigten Mailinglist Posts (Full-Disclosure) publiziert. Das Advisory kann von seclists.org heruntergeladen werden. Die Herausgabe passierte in Zusammenarbeit mit Observium. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Folgender Code zeichnet sich für das Problem veantwortlich:
function var_decode($string, $method = 'serialize') { $value = base64_decode($string, TRUE); if ($value === FALSE) { // This is not base64 string, return original var return $string; } switch ($method) { case 'json': if ($string === 'bnVsbA==') { return NULL; }; $decoded = @json_decode($value, TRUE); if ($decoded !== NULL) { // JSON encoded string detected return $decoded; } break; default: if ($value === 'b:0;') { return FALSE; }; $decoded = @unserialize($value); if ($decoded !== FALSE) { // Serialized encoded string detected return $decoded; } }
Vor einer Veröffentlichung handelte es sich 55 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $2k-$5k auf dem Schwarzmarkt.
Ein Aktualisieren vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. Observium hat nachweislich vorgängig gehandelt.
Von weiterem Interesse können die folgenden Einträge sein: 93568, 93569 und 93570.
CVSSv3
Base Score: 6.3 [?]Temp Score: 6.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 5 Tage seit gemeldet
0-Day Time: 55 Tage seit gefunden
Timeline
01.09.2016 Schwachstelle gefunden21.10.2016 Hersteller informiert
21.10.2016 Hersteller bestätigt
26.10.2016 Gegenmassnahme veröffentlicht
10.11.2016 Advisory veröffentlicht
11.11.2016 VulDB Eintrag erstellt
11.11.2016 VulDB letzte Aktualisierung
Quellen
Advisory: [CT-2016-1110] Unauthenticated RCE in Observium network monitorPerson: Ronald Volgers
Status: Bestätigt
Koordiniert: Ja
Siehe auch: 93568, 93569, 93570
Eintrag
Erstellt: 11.11.2016Eintrag: 76.3% komplett
...