Compartir:
Nota 1
3
minutos

Netwoker: Otra forma de explotar Networker

El título de este artículo hace referencia a “So Many Ways to Own Dell EMC Networker”. Durante un pentest, ese artículo nos fue muy útil ¡Muchas gracias! Recomendamos leerlo antes de continuar. En nuestro pentest, descubrimos muchas instalaciones de Networker Client en la red interna. Algunas nos permiten ejecutar comandos de Networker de forma remota. Así que intentamos explotar la erección de comandos en “nsrdump”. Sin embargo, ese comando no estaba instalado. Por suerte, “nsr_render_log” si estaba y nos permite obtener los hashes de los usuarios pero no logotipos crackearlos. La explosión a través de Erlang tampoco fue posible porque los hosts no ejecutaban ese servicio. Por ello, decidimos probar con otros comandos de Networker.

⦁ nsrrcopy carga arbitraria de archivos

Empezamos por listar los comandos de Networker disponibles en una instalación por defecto. Uno que nos llama la atención fue “nsrrcopy”. Quizá porque suena como “Remote Copy”.

 

El archivo “nsrrcopy” es en realidad un script de Bash. En su código podemos ver que ejecuta otro programa llamado “uasm” pasándole algunos parámetros controlados por nosotros.

 

En la documentación de “uasm” vemos que su diversión es “salvar” y “recuperar” datos del sistema de ficheros. Además, dice que se puede usar de forma similar al comando “tar”.

 

Por ejemplo, para salvar el archivo “/etc/passwd”, utilizamos la opción “-s”. Esto crea un fluido de bytes que se envía a la salida estándar y que redirigimos al archivo “stream”.

 

Y, para restaurar el archivo “/etc/passwd”, utilizamos la opción “-r”. Este lee el fluido de bytes creado anteriormente por la entrada estándar y reconstruye los archivos. El parámetro “-iY” es para sobreescribir archivos sin preguntar.

 

En “nsrrcopy” vemos que “uasm” se ejecuta en modo de restauración y sobrescribe archivos sin preguntar. Adicionalmente vemos que recibe un parámetro “$1”. Ese parámetro es opcional y debería ser una ruta. Cuando está presente, evita que se escribe archivos fuera de esa ruta. Por suerte, lo controlamos nosotros y si colocamos “/” podremos escribir en todo el sistema de archivos.

 

La idea es ejecutar “nsrrcopy” desde “nsrexec” para subir archivos arbitrarios al equipo remoto. Pero claro, “nsrrcopy” (uasm) lee el fluido de bytes de la entrada estándar ¿Cómo podemos controlar la entrada estándar del programa remoto? Por suerte “nsrexec” admira una variable de entorno “STDIN” que permite especificar los datos que se pasarán como entrada estándar al programa remoto.

 

La dificultad está en que el fluido de bytes generado con “uasm” contiene muchos bytes nulos y no podemos meterlo directamente en una variable de entorno porque se truncaría.

 

Una forma de resolver este problema es utilizando “netsed” y reemplazando el valor de STDIN directamente en el paquete de red que se envía al host remoto.

 

Otra forma sería programando un script que puede el protocolo de Networker y le envíe directamente nuestro payload.

⦁ Explotación paso a paso

Creamos nuestro script malicioso en “/usr/sbin/nsrwoot”

 

Y le damos permisos de ejecución

 

Lo empaquetamos con “uasm”

 

Codificamos el fluido de bytes para pasarlo a “netsed”

 

Obtenemos lo siguiente:

 

Generamos un patrón “AAA…” con la misma longitud de bytes

 

Configuramos la redirección de puertos con socat

 

Configuramos la redirección y sustitución de bytes con netsed

 

Asignamos STDIN con el patrón “AAA…”

 

Ejecutamos “nsrrcopy” en el host remoto

 

Al finalizar el comando anterior, el script “nsrwoot” se habrá creado en el host remoto y podremos ejecutarlo con “nsrexec”.

 

⦁ Línea de tiempo de divulgación

  • 12-JUL-2021: BASE4 Security realiza el informe inicial
  • 13-JUL-2021: Dell confirma la recepción del informe
  • 05-AGO-2021: Dell confirma la vulnerabilidad
  • 09-SEP-2021: Dell informa que el Security Advisory se publica a medios de octubre
  • 05-OCT-2021: Dell informa que la publicación del Security Advisory será el 11-OCT-2021.
  • 11-OCT-2021: Dell informa que la publicación se retraará.
  • 12-OCT-2021: Dell publica el Asesor de Seguridad DSA-2021-193. BASE4 Seguridad publica el presente artículo con los detalles de la vulnerabilidad.
  • EP-2021: Dell informa que la solución se publica a medios de octubre

 

 

Referencias
Notas
recientes
Strategy & Business
3
minutos

¿El plan de respuesta a incidentes funciona en el papel o...

El valor estratégico de un TTX Por:  Lucía Ghergo - Cybersecurity Communications Strategist  En resumen: Los ejercicios de simulación de respuesta a incidentes (Tabletop Exercises o TTX) permiten a los CISOs y equipos ejecutivos evaluar la...
ver más ...