3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Баги в продуктах Kerio Control могут привести к полной компрометации организации

Баги в продуктах Kerio Control могут привести к полной компрометации организации

Xakep #257. Pivoting

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты консалтинговой компании SEC Consult опубликовали детальный отчет об изучении продуктов компании Kerio Technologies, которая выпускает различные защитные программные решения, для малого и среднего бизнеса. Согласно официальному сайту компании, ее продукцией пользуются более 60 000 компаний по всему миру.

Специалисты SEC Consult обнаружили множество уязвимостей в Kerio Control, UTM-решении компании, которое объединяет в себе функции брандмауэра, маршрутизатора, IDS/IPS, шлюзового антивируса, VPN и так далее. Исследователи описали два сценария атак, которые позволяют злоумышленнику не только перехватить контроль над Kerio Control, но и над корпоративной сетью, которую продукт должен защищать. Хотя разработчики уже выпустили исправления для большей части обнаруженных багов, исследователи отмечают, что реализовать один из сценариев атак по-прежнему возможно.

По словам исследователей, решения Kerio Control уязвимы в силу небезопасного использования PHP функции unserialize, а также из-за использования старой версии PHP (5.2.13), в которой ранее уже были обнаружены серьезные проблемы. Также эксперты обнаружили ряд уязвимых PHP-скриптов, которые позволяют осуществить XSS и CSRF атаки и обход защиты ASLR. Кроме того, по словам SEC Consult, веб-сервер работает с root-привилегиями и не имеет защиты от брутфорс-атак и нарушения целостности информации в памяти.

Схема первого сценария атаки

Первый описанный экспертами сценарий атаки подразумевает эксплуатацию сразу нескольких уязвимостей. Атакующему понадобится применить социальную инженерию и заманить жертву на вредоносный сайт, на котором будет размещен скрипт, позволяющий выяснить внутренний IP-адрес Kerio Control. Затем злоумышленник должен эксплуатировать баг CSRF. Если же жертва не залогинена в панели управления Kerio Control, атакующий может применить обычный брутфорс для подбора учетных данных. Для этого понадобится уязвимость XSS, которая позволит обойти защиту SOP. После этого можно переходить к обходу ASLR и воспользоваться старым багом в PHP (CVE-2014-3515), чтобы запустить шелл с root-правами. По сути, после этого атакующий получает полный доступ к сети организации. Видеоролик ниже демонстрирует атаку в действии.

Второй сценарий атаки включает в себя эксплуатацию RCE-уязвимости, которая связана с функцией обновления Kerio Control и была обнаружена более года назад одним из сотрудников SEC Consult. Эксперты предлагают использовать этот баг, допускающий удаленное исполнение произвольного кода, в сочетании с XSS-уязвимостью, которая позволяет расширить функциональность атаки.

Специалистов Kerio Technologies уведомили о проблемах еще в конце августа 2016 года. На данный момент компания выпустила Kerio Control 9.1.3, где большинство уязвимостей устранены. Однако компания решила оставить веб-серверу root-привилегии, а также без исправления пока остается RCE-баг, связанный с функцией обновления.

7 комментариев

obelov

возмущает то, что они требуют продления подписки для устранения уязвимостей которые продали.

Diman15

Эти негодяи только на год дают обновления, нормальные же производители 150 лет обновляют бесплатно

obelov

есть обновления с «new features» и есть «critical».
требовать деньги за первые — норма, за вторые — нет.
получается что покупаешь продукт с известной критической уязвимостью и эту дыру не закрывают?
у меня 20 сентября окончилась очередная годовая подписка на обновления. и если в моём случае это не так уж опасно для сети, то есть места где это очень важно.

Tihon_one

чушь не порите. Такой подход лицензирования стандартен.
Для справки эти уязвимости НЕ являются уязвимостями ядра продукта, а относятся к стороннему веб-серверу. При том, что при соблюдении интернет-гигиены подвергнуться подобным «атакам» практически не возможно, а в случае использования бесплатного интерфейса управления MyKerio ( https://my.kerio.com ) эти риски сведены к нулю.

MaddoX

Насколько я знаю вы сотрудник из Kerio и естественно защищаете своих подопечных касаемо лицензирования, ну а как же иначе от этого будет зависеть ваша жирная зарплата…
По делу, в реальности Керио не занимается исправлением некоторых дыр по причине обычной лени и занятостью на заработках, у них даже нет времени чтобы сделать нормальные инструкции для пользователей, те же видео которые выложены на сайте сделаны откровенно говоря «бараном», в названии и в оглавлении написано одно а на деле обсуждается другое, либо то что в конце про это ни слова и считают это нормальным, все те дыры которые оставляют кериотовцы могут быть использованы ими самими для проникновения в вашу организацию, это даже делает и сама Microsoft, ну и эти мальчики ничем далеко от нее не отходят, а делается это в случае запроса спец служб как США типа АНБ и им подобных чтобы проникнуть без проблем в сеть, можете это считать параноей но оно на деле так и есть.
По лицензированию, для того чтобы драть с пользователя ему нужно предоставить готовый продукт который удовлетворяет его требованию на 100% у керио все выглядит по другому, в связи с отсутствием идей они обращаются к пользователям чтобы те предлагали что не хватает в продукте, но как вы понимаете что идеи тоже стоят денег но при этом деньги берут с вас причем заманивая очень хитрым методом, история с продуктом Operator очень интересная, одним пользователем была предложена идея добавить в оператор черные списки телефонов, это предложение провисело на их сайте около 1,5 года и только потом они туда добавили функцию, я переписывался с этим пользователем и он сказал что в последствии отказался от продукта тк как в ожидании этой фукции ему пришлось бы продлевать лицензию целых 2 года.
Для примера в той версии Operatora за основу был взят asterisk 8 версии, но эта функция блокировки уже была использована в версии 6, а значит сами кериотовцы небыли заинтересованы активировать эту функцию до тех пор пока народ уже возмутился на эту проблему.
Так что Тихон на ваши слова типа «Такой подход лицензирования стандартен» есть вопрос, стандартен для чего ? продукты которые продаются на территории бывшего СССР обычно не пишут цены в евро но так же при цене продукта используют соотношение прибыли и ценовой политики в разных странах, например я при покупке некоторых продуктов в штатах заплачу намного больше чем заплачу за них на территории бывшего СССР, потому что учитывается соотношение цен рынка двух стран, чего не скажешь об Керио, сами поменяли политику лицензирования причем в жесткую сторону когда поняли что мало выручки идет, но при этом исправления багов делают все так же не активно…
На лицо тупизм и бесполезные взгляды на некоторые рынки со стороны ответственных лиц в компании.

Читать еще:  Как официально скачать Windows 10 ISO файл?

obelov

хочу добавить малость))
Kerio после той даты дал обновиться до версии без критических багов. но правда перед этим прошло несколько дней, видимо они выпустили другой файл обновления, в котором нет ограничений для клиентов у которых закончилась подписка

Добрый день!
А где можно почитать по обновлениями для клиентов у которых закончилась подписка?

Доверие сотен тысяч клиентов по всему миру

(Обзоры по состоянию на Апрель 2020)

Управляйте своей ценной пропускной способностью

Расставляйте приоритеты и отслеживайте сетевой трафик, чтобы гарантировать высокоскоростную передачу для наиболее важных типов трафика. Ограничьте трафик с более низким приоритетом, установив максимум пропускной способности, или гарантируйте трафик с высоким приоритетом, назначив минимальные пороги.

Распределите интернет-трафик по нескольким соединениям с балансировкой нагрузки интернет-канала, автоматически отключая и повторно включая соединения для обеспечения постоянного доступа в Интернет.

Защитите свою сеть от чрезмерно высокого потребления веб-трафика и трафика приложений, таких как потоковое видео, или блокируя файлообменные сети.

Управляйте или блокируйте доступом к более 100 постоянно обновляемым категориям контента и приложений с помощью дополнительного веб-фильтра Kerio Control с управлением привилегиями в приложениях

Легко развернуть и управлять

Kerio Control может быть развёрнут как программное устройство, виртуальная машина или как аппаратное устройство с тремя вариантами:

  • NG110 – идеально подходит для малых предприятий, удалённых и домашних офисов
  • NG310 – выбор для малых предприятий, планирующих рост
  • NG510/NG511 – идеально подходит для среднего бизнеса

Доступ к параметрам безопасности, управление пользователями и пропускной способностью, а также настройкам политики с помощью настраиваемого в соответствии с индивидуальными потребностями пользователя веб-интерфейса на настольном или мобильном устройстве.

Управляйте несколькими инсталляциями Kerio Control через централизованный веб-интерфейс

Kerio Control бесплатно

Встроенная трехуровневая система рейтинговой оценки угроз обеспечивает адекватную реакцию на событие в зависимости от серьезности угрозы. База данных сигнатур, используемая для анализа трафика, дополнена «черными списками» IP-адресов.

Что нового

  • Добавлена поддержка шифрования личных / конфиденциальных данных, хранящихся на диске.
  • Исправлено: сбой в некоторых случаях из-за пустого заголовка HTTP-заголовка.
Автор:Kerio Technologies, Inc. (Сайт)
Дата обновления:2018-05-16
Операционная система:XP, Vista, 7, 8, 10
Стоимость:$280.00
Русский интерфейс:Есть
Украинский интерфейс:Нет
Читать еще:  Рейтинг Cмартфонов и Планшетов по AnTuTu Benchmark

Ваша оценка и отзыв о программе:

Сначала, пожалуй, надо объяснить, почему мой выбор остановился именно на Kerio Winroute Firewall. В свое время я долго блуждал по Internet в поисках файервола, который работал бы на двух сетевых подключениях и позволял контролировать соединения между внешней и внутренней сетью. И какова же была моя радость, когда после скачивания и проб целых комплектов отдельно взятых файерволов, прокси-серверов и шлюзов я нашел все это в одном, так сказать, флаконе. Конечно, встроенный в Kerio Winroute Firewall прокси-сервер существенно уступает такой вещи, как Squid, но вот шлюз и сам файервол хорошо реализованы, и, что самое главное, просты в настройке. Что касается встроенного антивируса, то его я, честно говоря, не использую.

Итак, перейдем к процессу установки Kerio Winroute Firewall (скачать демо-версию или купить этот продукт можно тут). Хочу сразу предупредить, что в этой главе и далее мною рассматривается версия 6.0.8, с нее же я буду делать и скриншоты. После запуска установочного файла и распаковки временных файлов появится приглашение мастера установки.

Следом появится окно с лицензионным приглашением, с которым прийдется согласиться.

Баги в продуктах Kerio Control могут привести к полной компрометации организации

Xakep #257. Pivoting

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты консалтинговой компании SEC Consult опубликовали детальный отчет об изучении продуктов компании Kerio Technologies, которая выпускает различные защитные программные решения, для малого и среднего бизнеса. Согласно официальному сайту компании, ее продукцией пользуются более 60 000 компаний по всему миру.

Специалисты SEC Consult обнаружили множество уязвимостей в Kerio Control, UTM-решении компании, которое объединяет в себе функции брандмауэра, маршрутизатора, IDS/IPS, шлюзового антивируса, VPN и так далее. Исследователи описали два сценария атак, которые позволяют злоумышленнику не только перехватить контроль над Kerio Control, но и над корпоративной сетью, которую продукт должен защищать. Хотя разработчики уже выпустили исправления для большей части обнаруженных багов, исследователи отмечают, что реализовать один из сценариев атак по-прежнему возможно.

По словам исследователей, решения Kerio Control уязвимы в силу небезопасного использования PHP функции unserialize, а также из-за использования старой версии PHP (5.2.13), в которой ранее уже были обнаружены серьезные проблемы. Также эксперты обнаружили ряд уязвимых PHP-скриптов, которые позволяют осуществить XSS и CSRF атаки и обход защиты ASLR. Кроме того, по словам SEC Consult, веб-сервер работает с root-привилегиями и не имеет защиты от брутфорс-атак и нарушения целостности информации в памяти.

Схема первого сценария атаки

Первый описанный экспертами сценарий атаки подразумевает эксплуатацию сразу нескольких уязвимостей. Атакующему понадобится применить социальную инженерию и заманить жертву на вредоносный сайт, на котором будет размещен скрипт, позволяющий выяснить внутренний IP-адрес Kerio Control. Затем злоумышленник должен эксплуатировать баг CSRF. Если же жертва не залогинена в панели управления Kerio Control, атакующий может применить обычный брутфорс для подбора учетных данных. Для этого понадобится уязвимость XSS, которая позволит обойти защиту SOP. После этого можно переходить к обходу ASLR и воспользоваться старым багом в PHP (CVE-2014-3515), чтобы запустить шелл с root-правами. По сути, после этого атакующий получает полный доступ к сети организации. Видеоролик ниже демонстрирует атаку в действии.

Второй сценарий атаки включает в себя эксплуатацию RCE-уязвимости, которая связана с функцией обновления Kerio Control и была обнаружена более года назад одним из сотрудников SEC Consult. Эксперты предлагают использовать этот баг, допускающий удаленное исполнение произвольного кода, в сочетании с XSS-уязвимостью, которая позволяет расширить функциональность атаки.

Специалистов Kerio Technologies уведомили о проблемах еще в конце августа 2016 года. На данный момент компания выпустила Kerio Control 9.1.3, где большинство уязвимостей устранены. Однако компания решила оставить веб-серверу root-привилегии, а также без исправления пока остается RCE-баг, связанный с функцией обновления.

7 комментариев

obelov

возмущает то, что они требуют продления подписки для устранения уязвимостей которые продали.

Diman15

Эти негодяи только на год дают обновления, нормальные же производители 150 лет обновляют бесплатно

obelov

есть обновления с «new features» и есть «critical».
требовать деньги за первые — норма, за вторые — нет.
получается что покупаешь продукт с известной критической уязвимостью и эту дыру не закрывают?
у меня 20 сентября окончилась очередная годовая подписка на обновления. и если в моём случае это не так уж опасно для сети, то есть места где это очень важно.

Tihon_one

чушь не порите. Такой подход лицензирования стандартен.
Для справки эти уязвимости НЕ являются уязвимостями ядра продукта, а относятся к стороннему веб-серверу. При том, что при соблюдении интернет-гигиены подвергнуться подобным «атакам» практически не возможно, а в случае использования бесплатного интерфейса управления MyKerio ( https://my.kerio.com ) эти риски сведены к нулю.

Читать еще:  Easy Hack: Хакерские секреты простых вещей. Подцепление на BeEF

MaddoX

Насколько я знаю вы сотрудник из Kerio и естественно защищаете своих подопечных касаемо лицензирования, ну а как же иначе от этого будет зависеть ваша жирная зарплата…
По делу, в реальности Керио не занимается исправлением некоторых дыр по причине обычной лени и занятостью на заработках, у них даже нет времени чтобы сделать нормальные инструкции для пользователей, те же видео которые выложены на сайте сделаны откровенно говоря «бараном», в названии и в оглавлении написано одно а на деле обсуждается другое, либо то что в конце про это ни слова и считают это нормальным, все те дыры которые оставляют кериотовцы могут быть использованы ими самими для проникновения в вашу организацию, это даже делает и сама Microsoft, ну и эти мальчики ничем далеко от нее не отходят, а делается это в случае запроса спец служб как США типа АНБ и им подобных чтобы проникнуть без проблем в сеть, можете это считать параноей но оно на деле так и есть.
По лицензированию, для того чтобы драть с пользователя ему нужно предоставить готовый продукт который удовлетворяет его требованию на 100% у керио все выглядит по другому, в связи с отсутствием идей они обращаются к пользователям чтобы те предлагали что не хватает в продукте, но как вы понимаете что идеи тоже стоят денег но при этом деньги берут с вас причем заманивая очень хитрым методом, история с продуктом Operator очень интересная, одним пользователем была предложена идея добавить в оператор черные списки телефонов, это предложение провисело на их сайте около 1,5 года и только потом они туда добавили функцию, я переписывался с этим пользователем и он сказал что в последствии отказался от продукта тк как в ожидании этой фукции ему пришлось бы продлевать лицензию целых 2 года.
Для примера в той версии Operatora за основу был взят asterisk 8 версии, но эта функция блокировки уже была использована в версии 6, а значит сами кериотовцы небыли заинтересованы активировать эту функцию до тех пор пока народ уже возмутился на эту проблему.
Так что Тихон на ваши слова типа «Такой подход лицензирования стандартен» есть вопрос, стандартен для чего ? продукты которые продаются на территории бывшего СССР обычно не пишут цены в евро но так же при цене продукта используют соотношение прибыли и ценовой политики в разных странах, например я при покупке некоторых продуктов в штатах заплачу намного больше чем заплачу за них на территории бывшего СССР, потому что учитывается соотношение цен рынка двух стран, чего не скажешь об Керио, сами поменяли политику лицензирования причем в жесткую сторону когда поняли что мало выручки идет, но при этом исправления багов делают все так же не активно…
На лицо тупизм и бесполезные взгляды на некоторые рынки со стороны ответственных лиц в компании.

obelov

хочу добавить малость))
Kerio после той даты дал обновиться до версии без критических багов. но правда перед этим прошло несколько дней, видимо они выпустили другой файл обновления, в котором нет ограничений для клиентов у которых закончилась подписка

Добрый день!
А где можно почитать по обновлениями для клиентов у которых закончилась подписка?

Доверие сотен тысяч клиентов по всему миру

(Обзоры по состоянию на Апрель 2020)

Управляйте своей ценной пропускной способностью

Расставляйте приоритеты и отслеживайте сетевой трафик, чтобы гарантировать высокоскоростную передачу для наиболее важных типов трафика. Ограничьте трафик с более низким приоритетом, установив максимум пропускной способности, или гарантируйте трафик с высоким приоритетом, назначив минимальные пороги.

Распределите интернет-трафик по нескольким соединениям с балансировкой нагрузки интернет-канала, автоматически отключая и повторно включая соединения для обеспечения постоянного доступа в Интернет.

Защитите свою сеть от чрезмерно высокого потребления веб-трафика и трафика приложений, таких как потоковое видео, или блокируя файлообменные сети.

Управляйте или блокируйте доступом к более 100 постоянно обновляемым категориям контента и приложений с помощью дополнительного веб-фильтра Kerio Control с управлением привилегиями в приложениях

Легко развернуть и управлять

Kerio Control может быть развёрнут как программное устройство, виртуальная машина или как аппаратное устройство с тремя вариантами:

  • NG110 – идеально подходит для малых предприятий, удалённых и домашних офисов
  • NG310 – выбор для малых предприятий, планирующих рост
  • NG510/NG511 – идеально подходит для среднего бизнеса

Доступ к параметрам безопасности, управление пользователями и пропускной способностью, а также настройкам политики с помощью настраиваемого в соответствии с индивидуальными потребностями пользователя веб-интерфейса на настольном или мобильном устройстве.

Управляйте несколькими инсталляциями Kerio Control через централизованный веб-интерфейс

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector