Vulnerabilidades

Los dispositivos Amcrest IPM-721S V2.420.AC00.16.R.20160909 tienen credenciales predeterminadas que están codificadas en el firmware y pueden ser extraídas por cualquiera que invierta el firmware para identificarlas. Si la versión del firmware V2.420.AC00.16.R 9/9/2016 se diseca con la herramienta binwalk, se obtiene un archivo _user-x.squashfs.img.extracted que contiene el sistema de archivos configurado en el dispositivo que muchos de los binarios en la carpeta / usr. El "sonia" binario es el que tiene la función vulnerable que configura las credenciales predeterminadas en el dispositivo. Si uno abre este binario en IDA-pro, notará que sigue un formato ARM en little endian. La función sub_3DB2FC en IDA pro se identifica para configurar los valores en la dirección 0x003DB5A6. El sub_5C057C luego establece este valor y lo agrega a los archivos de Configuración en el archivo / mnt / mtd / Config / Account1.

Los dispositivos Amcrest IPM-721S V2.420.AC00.16.R.20160909 tienen una política de tiempo de espera para esperar 5 minutos en caso de que se detecten 30 intentos de contraseña incorrectos mediante la interfaz web y API de HTTP proporcionada por el dispositivo. Sin embargo, si se realiza el mismo intento de fuerza bruta utilizando la especificación ONVIF (que es compatible con el mismo binario), entonces no se ejecuta el bloqueo de la cuenta o el tiempo de espera. Esto puede permitir a un atacante eludir el mecanismo de protección de la cuenta y forzar las credenciales. Si la versión del firmware V2.420.AC00.16.R 9/9/2016 se diseca con la herramienta binwalk, se obtiene un archivo _user-x.squashfs.img.extracted que contiene el sistema de archivos configurado en el dispositivo que muchos de los binarios en la carpeta / usr. El "sonia" binario es el que tiene la función vulnerable que realiza la verificación de credenciales en el binario para la especificación ONVIF. Si uno abre este binario en IDA-pro, notará que sigue un formato ARM little endian. La función en la dirección 00671618 en IDA pro es analizar el encabezado del token de seguridad WSSE. El sub_ 603D8 luego realiza la verificación de autorización y si es incorrecto pasa a la función sub_59F4C que imprime el valor "Remitente no autorizado".

Los dispositivos Amcrest IPM-721S V2.420.AC00.16.R.20160909 no se manejan correctamente durante las últimas dos horas. Los servicios en la nube de Amcrest no realizan una verificación exhaustiva cuando permiten que el usuario agregue una nueva cámara a la cuenta del usuario para garantizar que el usuario sea el propietario de la cámara, aparte de saber el número de serie de la cámara. Esto puede permitir que un atacante que conoce el número de serie agregue fácilmente la cámara de otro usuario a la cuenta de la nube de un atacante y la controle completamente. Esto es posible en el caso de que cualquier cámara que actualmente no sea parte de una cuenta en la nube de Amcrest o haya sido eliminada de la cuenta en la nube del usuario. Además, otro requisito para un ataque exitoso es que el usuario debería haber reiniciado la cámara en las últimas dos horas. Sin embargo, ambas condiciones son muy probables para las nuevas cámaras que se venden a través de Internet en muchos sitios web de comercio electrónico o proveedores que venden los productos Amcrest. El ataque con éxito hace que un atacante pueda controlar completamente la cámara, lo que incluye poder ver y escuchar lo que la cámara puede ver, poder cambiar la configuración de detección de movimiento y también poder apagar la cámara sin que el usuario esté consciente de ello. Nota: El mismo ataque se puede ejecutar utilizando la aplicación móvil Amcrest Cloud.

Los dispositivos Amcrest IPM-721S V2.420.AC00.16.R.20160909 permiten que un atacante no identificado descargue las credenciales administrativas. Si la versión del firmware V2.420.AC00.16.R 9/9/2016 se diseca con la herramienta binwalk, se obtiene un archivo _user-x.squashfs.img.extracted que contiene el sistema de archivos configurado en el dispositivo que muchos de los binarios en la carpeta / usr. El "sonia" binario es el que tiene la función vulnerable que configura las credenciales predeterminadas en el dispositivo. Si uno abre este binario en IDA-pro, notará que sigue un formato ARM little endian. La función sub_436D6 en IDA pro se identifica para configurar la configuración del dispositivo. Si uno se desplaza a la dirección 0x000437C2, se puede ver que / current_config se está configurando como ALIAS para la carpeta / mnt / mtd / Config en el dispositivo. Si se coloca un TELNET en el dispositivo y se navega a la carpeta / mnt / mtd / Config, se puede observar que contiene varios archivos como Account1, Account2, SHAACcount1, etc. Esto significa que si se navega a http: // [IPofcamera] / current_config / Sha1Account1 entonces uno debería poder ver el contenido de los archivos. Los investigadores de seguridad asumieron que esto solo era posible después de la autorización en el dispositivo. Sin embargo, cuando se realizaron pruebas de acceso no autenticado para la misma URL que se proporcionó anteriormente, se observó que el archivo del dispositivo podía descargarse sin ninguna autorización.

En los dispositivos Amcrest IPM-721S V2.420.AC00.16.R.20160909, los usuarios del dispositivo se dividen en 2 grupos "admin" y "usuario". Sin embargo, como parte del análisis de seguridad, se identificó que un usuario con pocos privilegios que pertenece al grupo de "usuarios" y que tiene acceso para iniciar sesión en la interfaz administrativa web del dispositivo puede agregar un nuevo usuario administrativo a la interfaz mediante HTTP Las API proporcionadas por el dispositivo y realizar todas las acciones como un usuario administrativo mediante el uso de esa cuenta. Si la versión del firmware V2.420.AC00.16.R 9/9/2016 se diseca con la herramienta binwalk, se obtiene un archivo _user-x.squashfs.img.extracted que contiene el sistema de archivos configurado en el dispositivo que muchos de los binarios en la carpeta / usr. El "sonia" binario es el que tiene las funciones vulnerables que realizan las diversas acciones descritas en las API de HTTP. Si uno abre este binario en IDA-pro, notará que sigue un formato ARM little endian. La función en la dirección 0x00429084 en IDA pro es la que procesa la solicitud de API HTTP para la acción "addUser". Si se rastrean las llamadas a esta función, se puede ver claramente que la función sub_ 41F38C en la dirección 0x0041F588 analiza la llamada recibida desde el navegador y la pasa a la función "addUser" sin ninguna verificación de autorización.

El saneamiento inadecuado de las expresiones de usuario dinámicas en Odoo Community versión 11.0 y versiones anteriores y Odoo Enterprise versión 11.0 y versiones anteriores permite a los usuarios con privilegios autenticados un escape de sanbox de expresiones dinámicas y ejecutar código arbitrario en el sistema de alojamiento.

En BIG-IP 12.1.0-12.1.4.1, las solicitudes no reveladas pueden hacer que los procesos REST de iControl se bloqueen. El ataque solo puede venir de un usuario identificado; Todos los roles son capaces de realizar el ataque. Los usuarios no identificados no pueden realizar este ataque.

En BIG-IP 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4, 12.1.0-12.1.4, 11.6.1-11.6.3.4 y 11.5.1-11.5 .8, SNMP expone objetos de configuración sensibles sobre canales de transmisión no seguros. Este problema se expone cuando una frase de contraseña se inserta en varios tipos de perfil y se accede mediante SNMPv2.

En BIG-IP 14.1.0-14.1.0.5 y 14.0.0-14.0.0.4, las solicitudes http mal formadas realizadas en un punto final REST de iControl no revelado pueden llevar a un bucle infinito del proceso de restjavad.

En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4, y 12.1.0-12.1.4 un gran volumen de solicitudes de informes de análisis mal formados conduce a la inestabilidad en el proceso de restjavad. Esto causa problemas tanto con iControl REST como con algunas partes de TMUI. El ataque requiere un usuario autenticado con cualquier rol.

En BIG-IP (AFM, ASM) versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4, 12.1.0-12.1.4, y 11.5.1-11.6.4, vulnerabilidad de Cross-Site Scripting (XSS) en la lista de feeds de AFM. En el peor de los casos, un atacante puede almacenar un Cross-Site Request Forgery (CSRF), lo que conduce a la ejecución de código como el usuario administrador. <br /> El nivel de rol de usuario que puede realizar este ataque es el administrador de recursos y el administrador.

En BIG-IP (ASM) 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4 y 12.1.0-12.1.4, el abuso de la lógica de la aplicación de los puntos finales ASM REST puede llevar a Inestabilidad del sistema BIG-IP. La operación de este problema provoca un consumo excesivo de memoria, lo que provoca que el kernel de Linux active el asesino OOM en procesos arbitrarios. El ataque requiere un usuario identificado con el rol de "Invitado" o un privilegio mayor. Nota: "Sin acceso" no puede iniciar sesión, por lo que técnicamente es un rol, pero un usuario con este rol de acceso no puede realizar el ataque.