Swatch ed HTTP 404 (not found)

Creato il 08 agosto 2012 da Nightfly

Premessa

Swatch monitora attivamente tutte le richieste dirette ai miei server Web, quindi qualunque tentativo di accesso ad una particolare pagina viene loggato.

Problema

Ultimamente le richieste verso una particolare URL sono aumentate a dismisura. Ecco uno stralcio degli alert generati dal suddetto tool:

201.157.16.123 - - [06/Aug/2012:01:28:55 +0200] "GET /vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../..//etc/amportal.conf%00 HTTP/1.1" 404 2089 "-" "-"

201.22.125.163 - - [06/Aug/2012:00:03:58 +0200] "GET /vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../..//etc/amportal.conf%00 HTTP/1.1" 404 2089 "-" "-"

77.54.223.3 - - [05/Aug/2012:22:13:00 +0200] "GET /vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../..//etc/amportal.conf%00 HTTP/1.1" 404 2089 "-" "-"

95.229.250.152 - - [05/Aug/2012:20:59:13 +0200] "GET /vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../..//etc/amportal.conf%00 HTTP/1.1" 404 2089 "-" "-"

Trattasi palesemente di un attacco directory traversal, data la sintassi ../../../../../../../../ utilizzata nella URL, che consente all'attaccante di accedere alla directory /etc ed in particolare al file di configurazione amportal.conf

Tale attacco può essere attuato grazie ad una vulnerabilità specifica che affligge la distro Elastix, in particolare il CRM Vtiger. La vulnerabilità consiste nell'uso errato delle procedure di input sanitization, che consente l'uso dei caratteri . e / all'interno della querystring (espressi in URL encoding), in modo da eseguire la "scalata" delle directory fino ad arrivare al file di configurazione target.

Soluzione

Aggiornare il pacchetto elastix-vtigercrm alla versione 5.2.1-5

Alla prossima.