#Attacking_SSL_VPN_2 with #APT_39
ادامه پست قبلی, تشریح آسیب پذیری ها, اپلی آسیب پذیری Format String هستش که در سرویس GlobalProtect بوده که در URI و پارامتر زیر آسیب پذیری رخ داده
@Unk9vvN
ادامه پست قبلی, تشریح آسیب پذیری ها, اپلی آسیب پذیری Format String هستش که در سرویس GlobalProtect بوده که در URI و پارامتر زیر آسیب پذیری رخ داده
POST /sslmgr HTTP/1.1
Host: global-protect
Content-Length: 36
scep-profile-name=%n%n%n%n%n...
که در تابع snprintf که یک تابع لینوکس بیس هستش به صورت سفارشی استفاده شده بوده, که با CVE-2019-1579 ثبت شده, اما آسیب پذیری دوم Heap Overflow هستش که در قسمت پارسر کدهای جاوا اسکریپت رخ داده که تابع memcpy محدود نشده و پارامتر js_buf مستقیم مقادیر خودش رو به تابع ارسال میکرده و از اونجا که اندازه بافر 0x2000 ثابت هستش و رشته ورودی نامحدود موجب سرریز شده است,memcpy(buffer, js_buf, js_buf_len);
محقق توضیح میده که از این آسیب پذیری به ۵ دلیل تکنیکی نمیتونه استفاده کنه و بصورت خلاصه عرض کنم که با بررسی ساختار یکی از توابع داخلی برنامه با نام ()SSL_do_handshake متوجه میشه که یک آسیب پذیری در allocator متغییر داخلی وجود داره که با استفاده از سر ریز کردن پردازش جاوا اسکریپت میتونه در حافظه هیپ اون رو باز نویسی کنه.@Unk9vvN
#Attacking_SSL_VPN_1 with #APT_39
در این پست بصورت متخصر در خصوص آسیب پذیری های سرویس دهنده های VPNs صحبت خواهیم کرد و چگونگی بستر شدن این آسیب پذیری ها برای پیاده سازی حمله سایبری منتسب به گروه ایرانی Fox Kitten که به دست کمپانی ClearSky گزارش شد,
در سال ۲۰۱۹ محققی با نام مستعار Orange Tsai در وبلاگ خودش اعلام کرد که بر روی سرویس دهنده های VPN در قسمت پردازش SSL آسیب پذیری های متعددی وجود داره که برخی از این آسیب پذیری ها منجر به #RCE و یا خواند فایل خواهد شد, اما چندی بعد در کنفرانس سالانه BlackHat 2019 مقاله ای رو ارائه داد که در این ارائه بصورت کاملتری پروسه Exploit کردن این سرویس هارو ارائه داد,
به گفته ایشون Fortinet و Pluse Secure و Palo Alto دارای آسیب پذیری هستند که خارج از پروسه Auth اکسپلویت شدن, بالای 50.000 در سرویس Pulse Secure و بالای 480.000 دیوایس در سرویس دهنده Fortigate دارای این آسیب پذیری ها هستند, سه کانسپت هم از این آسیب پذیرند Release شده که با ذکر CVE اونها لینک میکنم براتون,
CVE-2018-13379
CVE-2019-11510
CVE-2019-1579
Reference Blog Part 1
Reference Blog Part 2
@Unk9vvN
در این پست بصورت متخصر در خصوص آسیب پذیری های سرویس دهنده های VPNs صحبت خواهیم کرد و چگونگی بستر شدن این آسیب پذیری ها برای پیاده سازی حمله سایبری منتسب به گروه ایرانی Fox Kitten که به دست کمپانی ClearSky گزارش شد,
در سال ۲۰۱۹ محققی با نام مستعار Orange Tsai در وبلاگ خودش اعلام کرد که بر روی سرویس دهنده های VPN در قسمت پردازش SSL آسیب پذیری های متعددی وجود داره که برخی از این آسیب پذیری ها منجر به #RCE و یا خواند فایل خواهد شد, اما چندی بعد در کنفرانس سالانه BlackHat 2019 مقاله ای رو ارائه داد که در این ارائه بصورت کاملتری پروسه Exploit کردن این سرویس هارو ارائه داد,
به گفته ایشون Fortinet و Pluse Secure و Palo Alto دارای آسیب پذیری هستند که خارج از پروسه Auth اکسپلویت شدن, بالای 50.000 در سرویس Pulse Secure و بالای 480.000 دیوایس در سرویس دهنده Fortigate دارای این آسیب پذیری ها هستند, سه کانسپت هم از این آسیب پذیرند Release شده که با ذکر CVE اونها لینک میکنم براتون,
CVE-2018-13379
CVE-2019-11510
CVE-2019-1579
Reference Blog Part 1
Reference Blog Part 2
@Unk9vvN
#APT_39 #Fox_Kitten
در جریان حمله APT 39 که منتسب به یک تیم ایرانی است نکات جالبی نهفته است که به برخی از آنها اشاره میکنم،
تصویر اول نشان دهنده مراجع مورد حمله قرار گرفته شدست که توضیح راجبش نمیدم مشخصه، اما در تصویر دوم زنجیره ارتباطات و Exfiltrate های مورد استفاده کاملا مشخصه که درش سه وبسرویس مورد استفاده قرار گرفته،
در تصویر سوم مشاهده میشه که فرایند ایجاد Tunnel برای بعد از مرحله Lateral Movement زده شده که از پروتکل RDP بر بستر SSH استفاده شده تا به نوعی از نظارت ها یا محدودیت های پروتکل RDP فرار صورت بگیره، یک تکنیک هوشمدانس در این خصوص،
اما در تصویر چهارم سه آسیب پذیری مورد استفاده دیده میشه که از تحقیقات Orange Tsai بصورت One Day بهره برداری شده، نوع آسیب پذیری ها اینطوره که سرویس دهنده های VPN نسبت به مقادیر ارسال بر مبنای وبسرویس آسیب پذیری هایی داشته اند مانند Path Traversal یا Format String که موجب اجرای کد بصورت Unauthenticated میشود،
در تصویر پنجم میبینیم که استفاده از سرویس Serveo که یک Forward پروتکل SSH و Ngrok برای RDP استفاده شده در تصویر شش ابزارهای مورد استفاده دیده میشه.
@Unk9vvN
در جریان حمله APT 39 که منتسب به یک تیم ایرانی است نکات جالبی نهفته است که به برخی از آنها اشاره میکنم،
تصویر اول نشان دهنده مراجع مورد حمله قرار گرفته شدست که توضیح راجبش نمیدم مشخصه، اما در تصویر دوم زنجیره ارتباطات و Exfiltrate های مورد استفاده کاملا مشخصه که درش سه وبسرویس مورد استفاده قرار گرفته،
در تصویر سوم مشاهده میشه که فرایند ایجاد Tunnel برای بعد از مرحله Lateral Movement زده شده که از پروتکل RDP بر بستر SSH استفاده شده تا به نوعی از نظارت ها یا محدودیت های پروتکل RDP فرار صورت بگیره، یک تکنیک هوشمدانس در این خصوص،
اما در تصویر چهارم سه آسیب پذیری مورد استفاده دیده میشه که از تحقیقات Orange Tsai بصورت One Day بهره برداری شده، نوع آسیب پذیری ها اینطوره که سرویس دهنده های VPN نسبت به مقادیر ارسال بر مبنای وبسرویس آسیب پذیری هایی داشته اند مانند Path Traversal یا Format String که موجب اجرای کد بصورت Unauthenticated میشود،
در تصویر پنجم میبینیم که استفاده از سرویس Serveo که یک Forward پروتکل SSH و Ngrok برای RDP استفاده شده در تصویر شش ابزارهای مورد استفاده دیده میشه.
@Unk9vvN