Projektstudium Pentesting SySS - Studenten Projekt 17. Juni 2018 Pentest Report Erstellt von: Leon Albers Lokman Birkan Sebastian Buckel Dominic G¨ ockel Christian M¨ arkle Michael Scharl Kerstin Zuzej Projektbetreuung: Prof. Holger Morgenstern Herr Tobias Scheible Auftraggeber: SySS GmbH Herr Andreas Heideck
60
Embed
Pentest Report - cyber-security-center.de · Pentest Report, SySS-SP Kerstin Zuzej Vorgehensweise Wir haben Informationen uber Cynap von verschiedenen Quellen gesucht und f ur Ermittelungen
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Dieses Projekt ist aus einer Kooperation zwischen der SySS GbmH und der Hoch-schule Albstadt-Sigmaringen entstanden. Reprasentiert wird die Hochschule durcheine Gruppe von sieben Studenten der Fachrichtung IT-Security, welche durch zweiDozenten betreut werden. Die vorliegende Ausarbeitung gibt die Durchfuhrung undErkenntnisse des Penetrationtests wieder und stellt Empfehlungen zur Erhohung desSicherheitsniveau bereit.Das Objekt des Auftrag ist das Prasentationssystem Cynap von Wolfvision mit derVersion 1.18f. Der Fokus des Testes lag darin, ein moglichst breites Spektrum poten-zieller Angriffspunkte abzudecken. Der Test hat ergeben, das das System mehrereSicherheitslucken aufweist, darunter auch schwerwiegende, welche teilweise selbst inder aktuell neusten Version (1.20i) noch nicht behoben wurden.
3
Pentest Report, SySS-SP Kerstin Zuzej
1.1 Ubersicht
Nachfolgend eine Ubersicht uber kritische Schwachstellen, die besondere Aufmerk-samkeit bedurfen, sowie weitere Empfehlungen zur Verbesserung der Sicherheit.
Zur Erkundung von moglichen Angriffspunkten, haben wir zu Beginn Informationenund Spezifikationen uber Cynap gesucht.
Verwendete Ressourcen
Internet Archivehttps://archive.org
Neben dem Webarchiv umfasst Archive.org eine Sammlungen von Texten undBuchern, Audiodateien, Videos, Bildern und Software. Moglicherweise konnen hierVersionen gefunden werden, die in der Vergangenheit im Internet verbreitet waren,dann jedoch geloscht wurden.
Googlehttps://google.de
Die Suchmaschine Google kann nutzliche Informationen liefern.
Webseite WolfVisionhttps://wolfvision.com
Dies ist die vom Hersteller offizielle Webseite, des zu testenden Produkts.
Common Vulnerabilities and Exposureshttps://cve.mitre.org/
Auflistung von Schwachstellen
Vorgehensweise
Mounten des Festplattenabbilds und prufen der Dateistruktur. Da der Paketmana-ger OPKG installiert ist, lassen sich die Installierten Pakete mit folgendem Befehlauflisten:
Die vollstandigen Ergebnisse konnen untercynap.version - https://pydio.cybernation.eu/public/fb66cabeziehungsweise im Anhang 6.2 und untercynap.service.versions - https://pydio.cybernation.eu/public/26d964beziehungsweise im Anhang 6.3 eingesehen werden.Pakete auf die ein Angriff als unauthenticated oder restricted Nutzer moglichsein konnte, wurden auf bekannte Exploits gepruft.
Ergebnis
Die Pakete sind grundsatzlich auf einem aktuellen Patchlevel. Interessant ist vorallem, dass OpenSSH in der Version 6.6 verwendet wird.
Unter bestimmten Voraussetzungen kann uber die Test-Webseite das Filesystemausgelesen werden.
Verwendete Werkzeuge
Keine
Vorgehensweise
Unprivilegierter Aufruf der Test-WebseiteSollte in den Einstellungen ein FTP-Server eingetragen sein, kann unter dem ReiterFiles das lokale Filesystem angezeigt werden.Uber Get Mounts → Get Listing → FTP:/// lasst sich das Filesystem anzeigen.
Abbildung 2.4: Auslesen des Filesystem
13
Pentest Report, SySS-SP Kerstin Zuzej
Ergebnis
Das Filesystem kann unter bestimmten Umstanden ausgelesen werden. Eine genaue-re Beschreibung ist unter Section 4.5 zu finden.
2.6 Websockets
Kurzbeschreibung
Verstehen der Funktionsweise der WebSockets um mogliche Schwachstellen zu fin-den.
Verwendete Werkzeuge
Webstrom - 2018.1.3Jetbrains.com
IDE fur Webentwicklung
Vorgehensweise
JavaScript Funktionen
Es wurden folgende JavaScript Dateien auf der Testseite gefunden, welche die Kom-munikation mit den Websockets handhaben.
Betrachtung eines Login-Requests (setLoginPassword):
Abbildung 2.5: WS Login Request
Ergebnis
Das Ergebnis enthalt den Status Code fur Success.
Abbildung 2.6: WS Login Response
Betrachtung des Requests, welcher den Access-Token abfragt.
Abbildung 2.7: WS Request Token
Der Token wird wie folgt zuruckgeliefert.
Abbildung 2.8: WS Get Token
Allerdings muss der Client fur zukunftige Requests keinen Token mehr mitsenden.Der Server scheint den Client auf Socket-Basis authentifiziert zu haben.
15
Pentest Report, SySS-SP Kerstin Zuzej
2.7 Untersuchung des Updateprozesses
Kurzbeschreibung
Sicherheit des Update-Prozesses uberprufen. Vorbereitung zum Reverse Engineeringdes Firmware Updates.
Vorgehensweise
Auf dem Festplatten Image nach der Update-URL suchen:
for i in cb*; do echo -e "$i \n URLs: $(strings $i | grep
http://www.wolfvision) \n "; done
Abbildung 2.9: Update URL in cbjanitord
Die Binare ELF-Datei scheint fur das Firmware Update zustandig zu sein. Die Quel-le fur das Update wird von einer XML via ungesicherte HTTP-Verbindung geladen.
16
Pentest Report, SySS-SP Kerstin Zuzej
Uber die URL http://www.wolfvision.com/wolf/FirmwareVersions2.xml kanndie Liste aller Wolfvision Gerate mit aktuellem Firmwarestand eingesehen werden.Daraus ergibt sich der Dateiname fur das Updatearchive des jeweiligen Gerats. Inunserem Fall ergab sich der Dateiname cb1.wgz.Uber die URL http://www.wolfvision.com/wolf/cb1.wgz kann die aktuelle Firm-ware des Wolfvision Cynap heruntergeladen werden. Es handelt sich hierbei um einetar.gz-Archiv.Die Datei cb1.wgz lasst sich mit dem Befehl 7z x cb1.wgz entpacken.
Abbildung 2.10: Entpackvorgang des Firmwareupdates
Der Fehler im ersten Entpackvorgang deutet auf einen Binaren Anhang der Dateihin. Bei der Untersuchung stellt sich heraus, dass hier die Version des Updates
Offnen des cbjanitord mit Ida Free und lokalisieren der Update Routine.
Abbildung 2.13: Update Routine
Dieser Codeabschnitt pruft auf welcher Partition die aktuelle Installation lauft undwahlt fur das Update jeweils die andere. Schließlich wird diese Partition mit mkfsneu erstellt und das Update entpackt.
20
Pentest Report, SySS-SP Kerstin Zuzej
Abbildung 2.14: Entpacken
Es folgen einige Prufroutinen z.B. auf das Firmware Tag.
Abbildung 2.15: Pruefung Firmware Tag
Ergebnis
Das Update lauft uber HTTP und es werden keine Signaturen gepruft!
21
Pentest Report, SySS-SP Kerstin Zuzej
2.10 Prufen differentieller Anderungen in Konfi-
gurationsdateien
Kurzbeschreibung
Abgleichen der Konfigurationsdateien beider Versionen um Fehlkonfigurationen inder alteren Version zu finden.
Verwendete Tools
diff - 3.6https://www.gnu.org/software/diffutils/
Vergleichen von Dateien
Vorgehensweise
Prufen der Konfigurationsdateien auf Anderungen:diff -rq /mnt/1.18f/etc/ /mnt/1.20i/etc
Folgende Dateien haben sich geandert:
• chrome.json
• lighttpd.conf
• lighttpd force https.conf
• journald.conf
• 95-anycon.rules
• weston-cb1.ini
• weston-cbc.ini
Anderungen in der Konfiguration des Webservers sind sicherlich interessant:Daher haben wir einen Abgleich mit dem Tool Meld erstellt:
Abbildung 2.16: Sicherung der Test-Seite in der Webserver Konfiguration
In der Version 1.20i wird die Testseite nun mit einer Basic-Authentifizierung geschutzt.
Ergebnis
Der Update Prozess scheint allerdings weiterhin uber HTTP zu laufen.Weiterhin ist interessant, dass in der Shadow Datei der Firmware der gleiche Password-hash+Salt befindet. Der Root-Login ist allerdings per default aktiviert, was daraufschließen lasst das es ein Master-Password fur alle Gerate gibt.
2.11 PDF und Chromium
Kurzbeschreibung
Da wir den Tipp bekommen haben, dass eine Schwachstelle in PDFs liegen konntehaben wir in diesem Bereich ein paar Informationen gesammelt. Da Cynap Chromi-um verwendet und die meisten Schwachstellen fur Adobe sind, haben wir uns diesenAngriffsvektor nochmals genauer angeschaut.
Mit der Hilfe verschiedener Quellen haben wir sowohl nach aktuellen PDF Exploits,als auch nach Schwachstellen in Chromium gesucht.
Ergebnis
PDF Vulnerability: Die meisten PDF Schwachstellen hangen zusammen mit
• JavaScript
• HTML
• CSS
• Externe Liberias
Leider werden diese nur im Adobe Reader gefunden, da er einfach sehr großzugigmit Dokumenten umgeht. Zu Ihrem Gluck benutzt die Cynap Chromium, welcherum einiges vorsichtiger mit PDFs umgeht. Chromium:Im Chromium Git kann man sehen, dass wir eine altere Version von Chromiumbenutzen. Cynap benutzt die Version 62.0.3202.29 und die aktuellste Version ist68.x.x. Seit Version 62 wurden hunderte Commits eingereicht.
Etwas interessantes wurde mit CVE Details gefunden.
Abbildung 2.17: Aktuelle Chromium Vulnerabilities
Der Chromium-Prozess lauft mit deaktivierter Sandbox, was einen Angriff deutlichvereinfachen wurde. Leider sind viele der zuletzt gefunden Schwachstellen fur unsirrelevant.
25
Kapitel 3
Durchgefuhrte Tests
3.1 Cracken der Shadow
Kurzbeschreibung
Cracken der Shadow Datei um die Informationsbasis fur zukunftige Angriffe zu ver-bessern.
Verwendete Werkzeuge
Arch Linux - 4.16.3-1-Archhttps://www.archlinux.org/
Linux Distribution
Hashcat - 4.1.0https://github.com/hashcat/hashcat
Tool um Hashwerte anzugreifen/zu brechen
Vorgehensweise
Relevante Daten zum Cracken aus dem Festplattenabbild extrahieren
unshadow passwd shadow > /home/passwords
Hier lasst sich feststellen, dass der MD5 Algorithmus mit Salt verwendet wurde:
Leider ließt sich das Passwort mit der Wortliste von CrackStation nicht cracken. Eswurden noch weitere Worterlisten verwendet und ein Brute-Force Angriff bis auf 10Zeichen durchgefuhrt. Sollte das Passwort gecrackt werden, besitzt der Angreifer einMaster-Zugang fur alle Cynap Gerate.
3.2 XML-Injection (Settings)
Kurzbeschreibung
Da einige Einstellungen in einer XML Datei gespeichert werden, wurde die Moglichkeiteiner XML-Injection getestet.
Verwendete Werkzeuge
Parrot Security - 3.11https://www.parrotsec.org/
Linux Distribution fur Pentesting
Firefox - 59.0.2 (64bit)
https://www.mozilla.org/de/firefox/new/
Open Source Webbrowser
Vorgehensweise
Auf der Seite http://cynap/test/ ist es moglich verschiedene Einstellungen zu set-zen. Diese werden nachher unter der Konfigurationsdatei /data/settings/settings.xmlgespeichert. In der Konfigurationsdatei ist auch das Admin Passwort gespeichert:
1 <?xml version=” 1 .0 ” encoding=”UTF−8”?>2 <wo l f v i s i o n version=”V1. 0 ”>3 <menusett ings>4 <admin password>Password</ admin password>5 <user password>Password</ user password>6 <remote password>0</ remote password>
7 <password type>1</ password type>8 </menusett ings>9 </ wo l f v i s i o n>
settings.xml
Ziel ist es, einen Wert zu setzen, welcher durch unprivilegierte Nutzer geandertwerden kann und im selben Zug mit einer XML-Injection das Admin Passwort zuuberschreiben.
Abbildung 3.1: XML-Tag-Injection auf Testseite
Es wird versucht den BoxNamen zu uberschreiben.Site: http://cynap/testFormID: stream_input_nameXML-Tag: recording_stream_input_name
Ergebnis
Die XML-Tag-Injection ist fehlgeschlagen.
3.3 Webserver Verschlusselung
Kurzbeschreibung
Es wurde getestet, welche Chiffren der Webserver zur Verschlusslung akzeptiert undob sich darunter auch als unsicher eingestufte Chiffren befinden.
Fur weitere Details und um diesem Hinweis nachzugehen kann das Tool sslscandienen. Folgender Befehl wurde verwendet:
sslscan 172.18.1.10
Manche der vom Webserver akzeptierten Chiffren weisen eine Schwache in der SSLVersion, der Lange und der Chiffre an sich auf.
Abbildung 3.4: Besonders schwache Chiffren
Ergebnis
Der Webserver lasst auch Verschlusslungen zu, welche nicht als sicher gelten. ImAnhang 6.1 ist das Ergebnis des sslscans als komplette Liste der akzeptierten Chiffrenaufgefuhrt.
3.4 Webserver Vulnerabilities (SSL)
Kurzbeschreibung
Testen des Webservers auf bekannte Schwachstellen.
Prufen der gesetzten Header des Webservers zum Schutz vor Clickjacking Angriffen.
Verwendete Tools
Firefox - 60.0https://mozilla.org/
Webbrowser
Vorgehensweise
Aufruf der Weboberflache und Inspektion der gesendeten Response-Header.
Abbildung 3.6: Webserver Header
Ergebnis
Der Header X-Frame-Options sollte auf DENY oder auf SAMEORIGIN gesetzt werden.Somit wurde vom Browser eine Einbettung als IFrame uber Drittseiten verhindertwerden.
Netzwerk-Tool zum Demonstrieren von HTTPS-Stripping-Attacken; ersetzt alsMan-in-the-Middle alle Verweise auf einer HTTPS-Seite durch solche auf unver-schlusselte HTTP-Seiten
Vorgehensweise
Bei der Netzwerkanalyse uber den Firefox wurde entdeckt, das die HTST immerdeaktiviert ist.
Abbildung 3.7: Deaktiviertes HSTS
Anschließend wurde getestet ob der Server trotzdem uber HTTP erreichbar ist.
Man erkennt, dass ein Redirect aktiv ist, was zusatzlich zum deaktivierten HSTSdie hinreichende Bedingung fur einen Angriff darstellt. Mit dem Tool sslsprip, dasman folgendermaßen auf Port 10000 startet:
sslstrip -a -l 10000
kann man ein MitM1 Angriff durchfuhren, um Client seitig mit HTTP und Serverseitig mit HTTPS zu kommunizieren. Mit dem folgendem Befehl wird dann derVerkehr zu sslstrip auf Port 10000 umgeleitet
Anschließend muss folgender Befehl jeweils mit der CynapIP und der OpferIP aus-gefuhrt werden, um beide Parteien zu spoofen.
arpspoof -i eth0 -t <IP.1><IP.2>
Um den Angriff auch nach der Umstellung auf Websockets weiterhin ausfuhren zukonnen, musste sslstrip auch Websocket-Kommunikation handhaben konnen.
Ergebnis
Der MitM Angriff mit SSL Spripping konnte Erfolgreich ausgefuhrt werden.
1Man in the Middle
35
Pentest Report, SySS-SP Kerstin Zuzej
3.8 WS(S) Replay-Angriff
Kurzbeschreibung
Es wird getestet ob beim Senden der gleichen Anfragen - wie beispielsweise diegetBoxname Anfrage der Testseite - der gleiche Ciphertext erzeugt wird.
Verwendete Werkzeuge
Wireshark - 2.4.5https://www.wireshark.org/
Programm zur Analyse und grafischen Aufbereitung von Datenprotokollen
Vorgehensweise
Zu Beginn wird die Kommunikation auf wss, also sichere Websockets umgestellt.Wireshark wird eingeschaltet und die gesendeten Pakete mitzuschneiden. Der ButtongetBoxname der Testseite wird zwei mal betatigt und die jeweils entstandenen undmitgeschnittenen Chiffretexte verglichen.
Ergebnis
Das Abfangen der Pakete mittels Wireshark hat ergeben, dass die gleiche Anfrageverschiedene Verschlusslungen erzeugt und somit eine Replay-Attacke in dieser Formfehlschlagt. Durch die Nutzung der oben beschriebenen SSL-Stripping Attacke istjedoch ein Replay Angriff wiederum moglich.
3.9 Manipuliertes Update via DNSSpoofing
Kurzbeschreibung
Einspielen eines manipulierten Updates uber DNS-Spoofing. Als Proof-Of-Conceptwird eine manipulierte shadow-Datei mit daraus resultierendem SSH Root-Zugriffin das Update eingefugt.
Programm fuer allgemeine kryptographische Funktionen
GHex - 3.18.3-3https://developer.gnome.org/ghex/
Grafische Anwendung um Dateien Hexadezimal einzusehen und zu schreiben.
Vorgehensweise
Das original Update vom Hersteller herunterladen.
wget http://wolfvision.com/wolf/cb1.wgz
Bei dem Verzeichnis handelt es sich um ein tar-gz Archiv. Dieses wird mit demBefehl
set -o pipfail && tar -zxOvf cb1.wgz root.ext2 | dd of=root.ext2
entpackt. Die Datei root.ext2 ist die Partition des Updates. Diese wird beim Up-dateprozess die alte Partition uberschreiben.Als Proof-Of-Concept haben wir das Passwort des Root-Users verandert. WeitereManipulationen sind denkbar.Mit dem Befehl
Wichtig ist, dass das neue Passwort und der Salt eine identische Lange zum Ori-ginal haben. Dieses neue Passwort kann nun mittels GHex an die passende Stellegeschrieben werden.
Abbildung 3.9: Stelle im Hex-Code von root.ext2 fuer Manipulation
Die manipulierte Partition kann nun wieder in ein tar-gz Archiv gepackt werden.
tar -czvf cb1.wgz root.ext2
Als letzten Schritt muss der Trailer des Originalupdates wieder an die Datei cb1.wgzangehangt werden.
Abbildung 3.10: Trailer an cb1.wgz
Das manipulierte Update ist vorbereitet und soll nun via DNSSpoofing auf das Ziel-gerat gelangen. Der Cynap fragt bei einem Auslosen des Updateprozesses und auch inregelmaßigen Abstanden unter der url http://wolfvision.com/wolf/FirmwareVersions2.xml die aktuelle Cynap-Version ab.Der eigene Webserver muss unter dem Pfad /wolf/FirmwareVersions2.xml und/wolf/cb1.wgz die entsprechenden Dateien ausliefern.Jetzt konnen mittels DNSSpoofing die Anfragen auf wolfvision.com, auf den eige-nen Webserver umgeleitet werden. Der Cynap wird eine Anfrage stellen, eine neuereFirmware Version erkennen und ein Update vorschlagen.
Abbildung 3.13: Updateanfrage und Start des Downloads
Nach erfolgreichem Herunterladen wird das manipulierte Update auf die entspre-chende Partition geschrieben.
Abbildung 3.14: Schreiben des Updates auf Partition
Anschließend kann per SSH und dem gewahlten Passwort auf das Cynap zugegriffenwerden.
Abbildung 3.15: SSH-Zugriff auf Cynap
Ergebnis
Der Test war erfolgreich und es ist moglich Root-Zugriff auf dem Gerat zu erlangen.
39
Pentest Report, SySS-SP Kerstin Zuzej
3.10 Auslesen der settings.xml via HTML
Kurzbeschreibung
Versuch uber HTML und JavaScript Dateien aus dem lokalen Dateisystem auszule-sen.
Verwendete Werkzeuge
Webstrom - 2018.1.3Jetbrains.com
IDE fur Webentwicklung
Vorgehensweise
Wir haben auf mehrere Weisen versucht Dateien aus dem lokalen Dateisystem aus-zulesen. Dazu wurde eine HTML-Datei lokal geoffnet, welche Dateien auslesen undanzeigen sollte.
Ergebnis
Der Test war nicht erfolgreich, es gelang lediglich Bilder uber ein Image-Tag zuoffnen. Der Browser schutzt das sonstige auslesen von Dateien.
3.11 Auslesen der settings.xml via Symlink
Kurzbeschreibung
Getestet wurde, ob es moglich ist mit Hilfe eines Symlink Dateien auszulesen, dieansonsten vom Cynap geschutzt werden.
Der Symlink auf die Datei /data/settings/settings.xml wird auf einem USB-Stick erstellt.
ln -s /data/settings/settings.xml open.odt
Durch die Dateiendung .odt kann das offnen der Datei mit Office erzwungen wer-den. Durch die Endung .html kann das Offnen mit Chromium erzwungen werden.Auf der grafischen Oberflache des Cynap kann der Symlink nun geoffnet werden.
Abbildung 3.16: Auslesen der settings.xml
Die lokalen Rechte am Cynap zum offnen von Dateien mussen vorhanden sein. (Userbzw. Moderator)
Ergebnis
Der Test war erfolgreich und wir konnten uber den Symlink die Datei Settings.xmlanzeigen lassen. Dabei fallt auf, dass die gesamten Einstellungen des Cynap, unteranderem die Passworter fur Admin, Wifi und eventuelle Cloudservices, ausgelesenwerden konnen.
Der Angriff war in vollem Umfang erfolgreich. Durch das manipulierte Update konnteder Root-Zugriff uber SSH erreicht werden. Jegliche andere Manipulationen sinddurchfuhrbar.Zudem ist diese Lucke im aktuellen Patchlevel des Gerats immer noch vorhanden undalle Anzeichen sprechen dafur, dass alle Gerate von Wolfvision uber einen ahnlichenUpdateprozess verfugen. Dadurch waren alle Gerate verwundbar.
42
Pentest Report, SySS-SP Kerstin Zuzej
Moglicher Fix
Der gesamte Updateprozess sollte von HTTP auf HTTPS mit Zertifikatsprufung um-gestellt werden. Zudem sollte der Updateprozess auf Signaturen in der Updatedateiprufen um jegliche Manipulationen zu erkennen.
4.2 SSL-Stripping
Voraussetzungen
Der potentielle Angreifer muss zu Beginn der Anfrage der Webseite auf dem Kom-munikationspfad sitzen. Außerdem darf der Nutzer nicht von selbst Https anfragen.
Der MitM Angriff mit SSL Spripping konnte erfolgreich ausgefuhrt werden.
Moglicher Fix
Der Sicherheitsmechanismus HTTP Strict Transport Security sollte aktiviert werden,falls in den Cynap Settings ”Only Allow Secure Connection” gesetzt ist. Falls diesnicht gewunscht ist, sollte der Webserver nur noch auf HTTPS Anfragen lauschen.
43
Pentest Report, SySS-SP Kerstin Zuzej
4.3 Symlink
Voraussetzungen
Physischer ZugangRechte Dateien im Webfrontend zu offnenUSB nicht blockiert
Der Test war erfolgreich und wir konnten uber den Symlink die Datei Settings.xmlanzeigen lassen. Dabei fallt auf, dass die gesamten Einstellungen des Cynap, unteranderem die Passworter fur Admin, Wifi und eventuelle Cloudservices, ausgelesenwerden konnen.
Moglicher Fix
Der Dienst pruft nur Dateiendungen. Jedoch jedoch zusatzlich testen, ob es sich umeinen Symlink handelt.
44
Pentest Report, SySS-SP Kerstin Zuzej
4.4 Websocket Token
Voraussetzungen
Der Potenzielle Angreifer muss sich auf der Leitung befinden um an den Token zugelangen.
Der Token verliert erst nach etwas Zeit seine Gultigkeit. Der Abgefangene oderAbgefragte Token kann von Beginn der Anmeldung bis wenige Minuten nach derAbmeldung eingesetzt werden, um sich die Rechte des Ursprunglichen Users zu be-schaffen.
Moglicher Fix
Der Token sollte nach dem Abmelden sofort seine Gultigkeit verlieren, außerdemsollte die Kommunikation Verschlusselt ubertragen werden. Des Weiteren sollte derToken sich bei Anderung des Nutzers neu generiert werden.
45
Pentest Report, SySS-SP Kerstin Zuzej
4.5 Testseite - Auslesen des Filesystems
Vorraussetungen
FTP muss im Wolfvision Cynap aktiviert sein.Wenn keine Moderatoren-Rechte gesetzt sind, kann unprivilegiert zugegriffen wer-den.Bei gesetzten Moderatoren-Rechten, muss man mindestens mit einem User-Leveleingeloggt sein (Entspricht Moderator).
Dieser Bug ermoglicht es unter bestimmten Umstanden das Filesystem des Cynapauszulesen. Daraus geht keine direkte Gefahr einher, es kann aber als Informations-quelle dienen.
Moglicher Fix
Nutzen von Moderator-Rechten.Testseite unzuganglich machen.
46
Kapitel 5
Empfehlungen
Hier werden zusatzliche Empfehlungen und Verbesserungsvorschlage aufgelistet, umdie allgemeine Sicherheit des Gerates zu erhohen.
Angreifer konnen Verbindungen mit TLS ablehnen, um Verbindungen mit SSL 3.0 zuerzwingen. Da SSL 3.0 leichter zu brechen ist, kann der Angreifer unter UmstandenDaten mitlesen. Um den sogenannten Poodle Angriff auf SSL zu unterbinden, sollteder Server nur noch TLS Verbindungen erlauben. Außerdem gilt eine Verschlusslungmit einer Schlussellange von 56 Bits als besonders schwach, weshalb auch dieseSchlussel nicht akzeptiert werden sollten. Eine komplette Liste der Akzeptieren Chif-fren ist im Anhang 6.1 zu finden
Bei der Logjam Schwachstelle kann ein Angreifer durch die Funktion DHE EXPORT, dieTLS-Verbindung auf 512bit schwachen. Diese Funktion sollte deaktiviert werden.
Die in Version 5.2 verwendete cifscreds.c ist anfallig gegen einen Stack-Based-Bufferoverflow. Nach allen Recherchen ist diese Schwachstelle in unserer Versiondes Cynap vorhanden. Bekannte Exploits sind nicht verfugbar.