Joint advi­so­ry AA22-279A (4/4)

3. Продетектированные типы уязвимостей.

Remote Code Exe­cu­tion
Com­mand Injec­tion
Arbi­trary File Read­ing
Authen­ti­ca­tion Bypass
Path Tra­ver­sal

Как видим все уязвимости очевидно критичные за исключением одного "Path Tra­ver­sal":

Path Tra­ver­sal — Cit­rix Appli­ca­tion Deliv­ery Con­troller (CVE-2019–19781)

Описание уязвимости не оставляет никаких возможностей для детектирования другого типа:

"An issue was dis­cov­ered in Cit­rix Appli­ca­tion Deliv­ery Con­troller (ADC) and Gate­way 10.5, 11.1, 12.0, 12.1, and 13.0. They allow Direc­to­ry Tra­ver­sal".

Этот же тип указывается в отчете AA22-279A: Cit­rix ADC CVE-2019–19781 Path Tra­ver­sal

И только в описании эксплоита мы можем видеть, что это по факту RCE: "This tool exploits a direc­to­ry tra­ver­sal bug with­in Cit­rix ADC (NetScalers) which calls a perl script that is used to append files in an XML for­mat to the vic­tim machine. This in turn allows for remote code exe­cu­tion."

Что ж, это очередное напоминание о том, что жестко фильтроваться по типу уязвимости нельзя и доверять описанию из nvd тоже нельзя. Тип уязвимости может уточняться со временем, а изменения в NVD никто не вносит.

В части случаев Vul­ris­tics может помочь более точно определить тип уязвимости:

AA22-279A: Apache HTTP Serv­er CVE-2021–41773 Path Tra­ver­sal
Vul­ris­tics: Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–41773)

Почему? Потому что в описании "If CGI scripts are also enabled for these aliased pathes, this could allow for remote code exe­cu­tion."

Но конечно Vul­ris­tics это не серебряная пуля и кроме ручного разбора публикаций об уязвимостях и эксплоитах тут ничего не придумаешь.

Также не могу не указать, что ещё для части уязвимостей Vul­risitcs определил типы уязвимостей более корректно в соответствии с описанием:

AA22-279A: Git­Lab CE/EE CVE-2021–22205 Remote Code Exe­cu­tion
Vul­ris­tics: Com­mand Injec­tion — Git­Lab (CVE-2021–22205) — Urgent [947]
"… which result­ed in a remote com­mand exe­cu­tion."

AA22-279A: Sitecore XP CVE-2021–42237 Remote Code Exe­cu­tion
Vul­ris­tics: Sitecore Expe­ri­ence Plat­form (XP) (CVE-2021–42237)
"… it is pos­si­ble to achieve remote com­mand exe­cu­tion on the machine."

AA22-279A: VMware vCen­ter Serv­er CVE-2021–22005 Arbi­trary File Upload
Vul­ris­tics: Remote Code Exe­cu­tion — VMware vCen­ter (CVE-2021–22005)
"…may exploit this issue to exe­cute code on vCen­ter Serv­er by upload­ing a spe­cial­ly craft­ed file."

AA22-279A: F5 Big-IP CVE-2022–1388 Remote Code Exe­cu­tion
Vul­ris­tics: Authen­ti­ca­tion Bypass — BIG-IP (CVE-2022–1388)
… undis­closed requests may bypass iCon­trol REST authen­ti­ca­tion"

AA22-279A: Apache HTTP Serv­er CVE-2021–41773 Path Tra­ver­sal
Vul­ris­tics: Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–41773)
"… this could allow for remote code exe­cu­tion."

AA22-279A: Apache CVE-2022–24112 Authen­ti­ca­tion Bypass by Spoof­ing
Vul­ris­tics: Remote Code Exe­cu­tion — Apache APISIX (CVE-2022–24112)
"… is vul­ner­a­ble to remote code exe­cu­tion."

AA22-279A: Buf­fa­lo WSR CVE-2021–20090 Rel­a­tive Path Tra­ver­sal
Vul­ris­tics: Authen­ti­ca­tion Bypass — Buf­fa­lo WSR (CVE-2021–20090)
"… allow unau­then­ti­cat­ed remote attack­ers to bypass authen­ti­ca­tion."

Поэтому не спешите доверять типу уязвимости из CISA Known Exploit­ed Vul­ner­a­bil­i­ties Cat­a­log и учитывать его при приоритизации.

Joint advi­so­ry AA22-279A (1/4)

Пожалуй хватит общих слов, давайте про уязвимости. 🙂 Очередная двадцатка уязвимостей от CISA, NSA и FBI. Joint cyber­se­cu­ri­ty advi­so­ry (CSA) AA22-279A. Не могут американцы просто выпустить список "20 уязвимостей через которые чаще всего ломают американские организации". Обязательно нужно вставить геополитику и указать на какую-то страну. Поэтому вопрос атрибуции атак оставляю без комментариев.

Но сами такие списки люблю по ряду причин:

1) Они показывают на какие CVE нужно обратить внимание. Это самое очевидное. Заметили такое в инфраструктуре — бегите исправлять.
2) Они показывают софты, за которыми нужно следить в первую очередь. А ваш сканер уязвимостей должен хорошо эти софты поддерживать.
3) Они показывают группы софтов, за которыми нужно следить в первую очередь. Обычно это то, что доступно широкому кругу пользователей или что неудобно обновлять.
4) Они показывают типы уязвимостей, на которые нужно обращать внимание в первую очередь.
5) Такие листы уязвимостей относительно компактные, их даже руками можно разобрать.

Не могу не отметить, насколько халтурно выполнен репорт. Описание уязвимостей подтянули автоматом с NVD. Включая такое: "Microsoft Exchange Serv­er remote code exe­cu­tion vul­ner­a­bil­i­ty. This CVE ID dif­fers from CVE-2021–26412, CVE-2021–26854, CVE-2021–26855, CVE-2021–26858, CVE-2021–27065, and CVE-2021–27078". Могли бы потрудиться и написать уникальный текст по каждой из 20 CVE-шек, ну правда. Joint advi­so­ry от трех серьезных организаций, но кажется всем настолько наплевать.

Исходный список:

1) Apache Log4j CVE-2021–44228 Remote Code Exe­cu­tion
2) Pulse Con­nect Secure CVE-2019–11510 Arbi­trary File Read
3) Git­Lab CE/EE CVE-2021–22205 Remote Code Exe­cu­tion
4) Atlass­ian CVE-2022–26134 Remote Code Exe­cu­tion
5) Microsoft Exchange CVE-2021–26855 Remote Code Exe­cu­tion
6) F5 Big-IP CVE-2020–5902 Remote Code Exe­cu­tion
7) VMware vCen­ter Serv­er CVE-2021–22005 Arbi­trary File Upload
8) Cit­rix ADC CVE-2019–19781 Path Tra­ver­sal
9) Cis­co Hyper­flex CVE-2021–1497 Com­mand Line Exe­cu­tion
10) Buf­fa­lo WSR CVE-2021–20090 Rel­a­tive Path Tra­ver­sal
11) Atlass­ian Con­flu­ence Serv­er and Data Cen­ter CVE-2021–26084 Remote Code Exe­cu­tion
12) Hikvi­sion Web­serv­er CVE-2021–36260 Com­mand Injec­tion
13) Sitecore XP CVE-2021–42237 Remote Code Exe­cu­tion
14) F5 Big-IP CVE-2022–1388 Remote Code Exe­cu­tion
15) Apache CVE-2022–24112 Authen­ti­ca­tion Bypass by Spoof­ing
16) ZOHO CVE-2021–40539 Remote Code Exe­cu­tion
17) Microsoft CVE-2021–26857 Remote Code Exe­cu­tion
18) Microsoft CVE-2021–26858 Remote Code Exe­cu­tion
19) Microsoft CVE-2021–27065 Remote Code Exe­cu­tion
20) Apache HTTP Serv­er CVE-2021–41773 Path Tra­ver­sal

Я конечно не отказал себе в удовольствии загнать список CVE-шек в свой Vul­ris­tics, чтобы посмотреть как он справится и подтюнить его при необходимости.

$ python3.8 vulristics.py –report-type "cve_list" –cve-project-name "AA22-279A" –cve-list-path joint_cves.txt –cve-data-sources "ms,nvd,vulners,attackerkb" –cve-com­ments-path comments.txt –rewrite-flag "True"

Отчет здесь: https://avleonov.com/vulristics_reports/aa22-279a_report_with_comments_ext_img.html

Дальше будут некоторые комментарии про то, что в итоге получилось.

Joint advi­so­ry AA22-279A (3/4)

2. Vul­ris­tics определил все уязвимости как уязвимости наивысшего уровня критичности (Urgent). Для всех уязвимостей нашлись публичные эксплоиты.

При этом если смотреть по CVSS, то там такое:

All vul­ner­a­bil­i­ties: 20
Crit­i­cal: 16
High: 4
Medi­um: 0
Low: 0

Если вы используете CVSS для приоритизации, не забывайте про уязвимости уровня High.