{"id":1026,"date":"2019-11-10T16:56:53","date_gmt":"2019-11-10T15:56:53","guid":{"rendered":"https:\/\/under12oot.noblogs.org\/?p=1026"},"modified":"2019-11-10T18:18:47","modified_gmt":"2019-11-10T17:18:47","slug":"path-traversal-in-acutoweb10-2","status":"publish","type":"post","link":"https:\/\/under12oot.noblogs.org\/?p=1026","title":{"rendered":"Path traversal in AcutoWeb10.2"},"content":{"rendered":"

Interrompo la lunga fase di silenzio per il rilascio di una vulnerabilit\u00e0…
\nDurante un audit che stavo conducendo ho trovato una\u00a0 path traversal<\/a>\u00a0 (o directory path traversal) in AcutoWeb10.2<\/p>\n

In accordo con il team la vulnerabilit\u00e0 verr\u00e0 patchata con il rilascio della versione 10.3 previsto a fine mese, rilascio forzato proprio a causa della falla.<\/p>\n

C’\u00e8 da dire che \u00e8 difficile trovare ancora queste vulnerabilit\u00e0, sono note da molti anni e difficilmente le si trova, infatti la prima cosa che ho fatto \u00e8 stato comunicare al nostro team interno di “rivedere la configurazione con cui viene lanciata l’applicazione o magari rivedere i permessi”. <\/em>Visto che l’indexing era possibile una misconfiguration sembrava la cosa pi\u00f9 probabile.<\/p>\n

\"\"<\/a>

indexing home dir<\/p><\/div>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

Una volta che ho potuto listare la home ho provato a includere la etc\/shadow. E mi \u00e8 stato possibile.
\nAlche scordandomi di ogni senso del dovere e di una parte di professionalit\u00e0 mi son permesso di prendere per il culo i miei colleghi : ] … In senso buono ovviamente, si stava scherzando e il clima era leggero, nonostante ci fosse un buco discreto<\/em> nella nostra infrastruttura di rete!<\/p>\n

\"shadow\"<\/a>

etc\/shadow<\/p><\/div>\n

 <\/p>\n

Comunque, dicevo che avevo ottenuto la shadow…<\/p>\n

Che, parliamoci chiaro, non me ne faccio un cazzo della shadow<\/em> (per modo di dire), avrei dovuto cercare in rete su i vari servizi online o usare hashcat e john the ripper<\/em>, o comunque avrei dovuto avere una botta culo clamorosa<\/em> per scovare la pass di root in tempi ragionevoli… Sarebbe stato pi\u00f9 utile vedere se nei vari file (quelli disponibili ovviamente)<\/em> fosse riportata una password in chiaro, o senza per forza cercare psw avrei avuto a disposizione file di configurazione dei vari servizi, che sono una manna, o, se ci fosse a disposizione qualcosa per l’upload di file avrei potuto caricare un shell<\/em>… A ogni modo, non era nello scope<\/span> e annunciare ai sistemisti: “ho appena grabbato la tua \/etc\/shadow<\/em>” fa la sua sporca figura : ] e infatti \u00e8 quello che ho fatto.<\/p>\n

Dopo le cazzate di rito abbiamo rivisto il file di conf, sia utilizzando quello riportato sul loro sito nella sezione della documentazione<\/a> sia modificandolo noi stessi settando le features di sicurezza al massimo livello.
\nAbbiamo verificato che il problema non fosse legato a una nostra dimenticanza, una volta valutato tutto questo ci siamo rivolti quindi al team di sviluppo di acutoweb, i quali (devo dire abbastanza cordialmente) dopo una settimana circa ci hanno confermato che era una loro vulnerabilit\u00e0 fino a quel momento sconosciuta.<\/p>\n

Il post non ha valore tecnico visto la banalit\u00e0 della cosa ma nonostante questo ci mostra quanto ancora una vulnerabilit\u00e0 vecchia, conosciuta da anni possa ancora essere presente e esporre a possibili data-breach.<\/p>\n

HappyHacking<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Interrompo la lunga fase di silenzio per il rilascio di una vulnerabilit\u00e0… Durante un audit che stavo conducendo ho trovato una\u00a0 path traversal\u00a0 (o directory path traversal) in AcutoWeb10.2 In accordo con il team la vulnerabilit\u00e0 verr\u00e0 patchata con il rilascio della versione 10.3 previsto a fine mese, rilascio forzato proprio a causa della falla. […]<\/p>\n","protected":false},"author":5820,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[199],"tags":[200,201,179,202],"class_list":["post-1026","post","type-post","status-publish","format-standard","hentry","category-hack","tag-0day","tag-acutoweb","tag-siti-di-e-per-acari","tag-webapp"],"_links":{"self":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/1026","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/users\/5820"}],"replies":[{"embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1026"}],"version-history":[{"count":5,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/1026\/revisions"}],"predecessor-version":[{"id":1043,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/1026\/revisions\/1043"}],"wp:attachment":[{"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1026"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1026"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/under12oot.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1026"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}