Alexander Polyakov - Don’t touch it, unless it falls in pieces business applications hack in extreme conditions

Не трогай,

а то развалится:

взлом бизнес приложений в экстремальных условиях

© 2002—2011, Digital Security

Александр Поляков

Технический Директор Digital Security

Intro

2 © 2002—2011 Digital Security

Множество бизнес приложений, которые хранят такие важные для вас данные,

совершенно не разрабатывались с учётом хоть каких-либо требований безопасной

разработки и тестирования.

Да, конечно, уязвимости есть везде, но не такие, и обнаружить их далеко не так

просто. Все уязвимости, представленные в данной презентации, были обнаружены

в течение 5 минут после запуска программы, мной и коллегами в свободное от

работы время, в самолёте, поезде или гостинице, когда нет интернета, нет

привычного окружения вроде фаззероф, снифферов и отладчиков или банального

интерпретатора perl, а есть только блокнот и установленный софт. Такое вот

небольшое руководство по поиску уязвимостей в экстремальных условиях на живых

примерах. Кто будет подопытным? Я думаю, вам знакомы эти имена: Documentum,

1C, SAP, PeopleSoft, Oracle BI. Время еще есть, список может и пополниться.

3 © 2002—2010, Digital Security


SAP - 74% компаний из Forbes 500



Пример 1: Ломаем SAPGUI


• Простая задача - найти уязвимость формата файлов.

• Цель: SAP Gui

• Тип : File format overflow

• Условия: Быстро

• Подходы:

• Ручной Fuzzing

• Автоматизированный Fuzzing


Saplogon.ini (конфигурационный файл) ~ 50 параметров


[Configuration]

SessManNewKey=4

.

[Description]

Item1=192.168.187.63

Item2=ECC5

Item3=solman

[Address]

Item1=

Item2=

Item3=

[MSSysName]

Item1=DM0

Item2=ERP

Item3=SM1

[MSSrvName]

Item1=

Item2=

Item.

.

.

.


Результат : DSECRG-11-017


[MSSysName]

Item1=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2A


AAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAA


AAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

A2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAA


AAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAA2AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1AA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA



0x41414141 and I don’t need anything more

6



Profit

6

• Файл входит в дистрибутив, распространяемый про сети

• Дистрибутив обычно лежит на файл-сервере

• Иногда даже с доступом на запись!

• Подмена файла и получение прав администратора на рабочих

станциях

• Далее все зависти от ваших желаний)


Результат : DSECRG-11-017 Автор – Дмитрий Частухин. Закрыто в обновлении: SapNote 1504547

Пример 2 Ломаем SAP NWBC (NetWeaver Business Client)


• Задача: скоротать время в самалёте

• Цель: SAP NWBC

• Тип : ActiveX overflow

• Условия: Comraider всегда с собой )

• Подходы:

• Fuzzing


Сдался




Profit

6

• Safe for scripting

• Эксплоит даёт удалённый шелл на атакуемом клиенте

• Спасибо Лёше Синцову


Результат : DSECRG-11-010 Автор – Александр Поляков + Алексей Синцов. Закрыто в обновлении: SapNote 1519966


DIRECTUM — система класса ECM (Enterprise Content Management),

обеспечивающая прозрачность управления компанией

и повышающая эффективность работы всех ее сотрудников.

Множество крупных клиентов: Сургутнефтегазбанк, Газпром

трансгаз Чайковcкий, Правительство Тюменской области, Парламент

Республики Калмыкия, "Региональный банк развития……………


Система документооборота Directum


• Задача: скоротать время в поезде москва-спб

• Цель: Directum ECM

• Уязвимость:

• Условия: рабочий ноутбук, блокнот

• Подходы:

• Анализ формата и ручной Fuzzing


Результат


• Уязвимость обнаружена

• Формат файла хранения документов

• Показать не могу (responsible disclose)

Все кому интересно предлагаю обсудить

проблемы разглашения уязвимостей на

панельной дискуссии.



Profit

6

• Файл с эксплоитом загружается в СЭД

• Доверие к системе гораздо выше, чем у левой ссылки по почте

• При открытии срабатывает эксплоит

• Удобно таргетировать


Результат : DSECRG-11-??? Автор – Александр Поляков Закрыто в обновлении: пока не закрыто



Неа не слышал?



Что хранится?



Пример 3: Oracle BI


• Ситуация: Гостиница в одном богом забытом городе

• Цель: Oracle BI внутренние процедуры СУБД

• Под рукой: время, Oracle Database PL/SQL Fuzzing Tool

• Подходы:

• Автоматизированный Fuzzing


Результат: после первого запуска порядка 10 потенциальных дыр

:


PL/SQL Injection in OWBREPOS_OWNER.WB_OLAP_AW_SET_SOLVE_ID

6

• Доступна на выполнение всем (Public)

• Запущена от роли OWBREPOS_OWNER.

• Доступны права:

• 1. SELECT ANY DICTIONARY

• 2. JAVA_ADMIN

• 3. CREATE EXTERNAL JOB

• 4 CREATE ANY DIRECTORY

• Не DBA, но зато может выполнять команды OC



Анализируем уязвимость

6

Запустим:

> exec OWBREPOS_OWNER.WB_OLAP_AW_SET_SOLVE_ID('bbbbbbbbbbb','ccccccccc','ddddd');

Прочтём логи:

> select sql_text from v$sql where sql_text like '%bbb%';

Результат логов:

> INSERT INTO OWB$$$_SOLVE_GROUP_IDS(CUBE_NAME, MEASURE_NAME, SOLVE_GROUP_ID)

VALUES('bbbbbbbbbbb', 'ccccccccc', 'ddddd')

Запускаем эксплоит:

>exec OWBREPOS_OWNER.WB_OLAP_AW_SET_SOLVE_ID('aaa''||SCOTT.SQLI()||''aaa','bbb','bbb');



Profit

6

• Полный доступ к ОС и чтение СУБД

• Качаем любые данные (к примеру финансовую отчётность)

• Идём играть на биржу


WARNING! Данные действия попадают

под целый ряд статуе УК РФ

Результат : DSECRG-11-020 Автор – Александр Поляков Закрыто в обновлении: CPU April 2011



система управления персоналом


Inurl:/psp/ps/?cmd=login

8



Переполнение в поле Password!

9

Основные проблемы безопасности систем ДБО

Пример 5: Oracle Peoplesoft


К сожалению только DOS

9

Основные проблемы безопасности систем ДБО

Результат : DSECRG-11-??? Автор – Андрей Лабунец Закрыто в обновлении: CPU April 2011

© 2002—2010, Digital Security 6



Итоги

6

• Мы постоянно в поисках уязвимостей это больше чем работа

• Бизнес приложения на данный момент имеют крайне низкий

уровень защищённости

• Данная область становится популярнее с каждым годом

• Профессионалы в дефиците


Documents

Alexander Polyakov - Don’t touch it, unless it falls in pieces business applications hack in extreme conditions