BF та IA уразливості в IBM Lotus Domino

23:55 26.04.2013

16.05.2012

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема Brute Force та Insufficient Authentication. Це друга порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IBM Lotus Domino.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

26.04.2013

Brute Force (WASC-11):

Дані сторінки, що вимагають аутентифікацію, не мають захисту від BF атак.

http://site/names.nsf
http://site/admin4.nsf
http://site/busytime.nsf
http://site/catalog.nsf
http://site/certsrv.nsf
http://site/domlog.nsf
http://site/events4.nsf
http://site/log.nsf
http://site/statrep.nsf
http://site/webadmin.nsf
http://site/web/war.nsf

Існує два варіанти форми логіна: Basic Authentication та html-форма. І в обох випадках має місце BF уразливість. Перший варіант я виявив під час пентесту ще в 2008, а під час пентесту в 2012 я виявив сайти, що використовували обидва варіанти.

Insufficient Authentication (WASC-01):

Непривілейований користувач (з будь-яким акаунтом на сайті, доступ до якого може бути отриманий через Brute Force уразливість) має доступ до наступних сторінок:

https://site/names.nsf - витік інформації про всіх користувачів (імена, прізвища, логіни, емайли та інша персональна інформація і налаштування)

https://site/admin4.nsf - витік інформації про дії адміністратора (Administration Requests), включаючи персональну інформацію (імена, прізвища, логіни та інше)

https://site/catalog.nsf - витік інформації про файли на сервері, про встановлені програми і про їх налаштування (Application Catalog), включаючи персональну інформацію (імена, прізвища, логіни та інше)

https://site/events4.nsf - витік інформації про події (Monitoring Configuration)

Після отримання доступу до names.nsf, можна використати Information Leakage уразливість, що знайдена Leandro Meiners в 2005 (для отримання хешів паролів) і яка досі не виправлена. IBM не виправила її в дефолтній конфігурації, а лише порадила прибрати поле хеша з профайлів, або використати солені хеші. Мій клієнт використав саме солені хеші й це не допомогло (99% хешів були підібрані, включаючи адмінський).

Уразливі IBM Lotus Domino 8.5.3, 8.5.4, 9.0 та попередні версії. В версії Domino 9.0, що вийшла у березні, IBM так і не виправила дані уразливості. Як нещодавно мені повідомили з IBM, майже через рік після мого інформування про ці уразливості, вони не виправили їх, бо не бачать в цьому потреби. Бо за їх словами в Domino існують вбудовані механізми для захисту від BF та IA, тому ці дірки не є проблемою додатку (а проблемою конкретних сайтів).

Тобто власники сайтів Lotus Domino повинні краще його налаштовувати для захисту від даних атак. З чим я не згоден, так як на всіх сайтах на Domino, що я перевіряв під час пентестів, були саме такі налаштування (схоже, що це налаштування по замовчуванню) і мали місце дані уразливості. Тобто це проблема саме Domino.


Leave a Reply

You must be logged in to post a comment.