7.8 CVE-2022-45639

Exploit RCE Injection SQL

** DISPUTED ** OS Command injection vulnerability in sleuthkit fls tool 4.11.1 allows attackers to execute arbitrary commands via a crafted value to the m parameter. NOTE: third parties have disputed this because there is no analysis showing that the backtick command executes outside the context of the user account that entered the command line. (Waiting for translation)
https://nvd.nist.gov/vuln/detail/CVE-2022-45639

Kategorien

CWE-78 : Unsachgemäße Neutralisierung von speziellen Elementen, die in einem OS-Befehl verwendet werden ("OS Command Injection")
Das Produkt konstruiert alle oder einen Teil eines Betriebssystembefehls unter Verwendung extern beeinflusster Eingaben von einer vorgelagerten Komponente, neutralisiert aber spezielle Elemente nicht oder falsch, die den beabsichtigten Betriebssystembefehl verändern könnten, wenn er an eine nachgelagerte Komponente gesendet wird. Diese Schwachstelle kann mit dynamischen Werkzeugen und Techniken aufgedeckt werden, die mit der Software interagieren, indem große Testsuiten mit vielen verschiedenen Eingaben verwendet werden, wie z. B. Fuzz-Testing (Fuzzing), Robustheitstests und Fehlerinjektion. Der Betrieb der Software kann sich verlangsamen, aber sie sollte nicht instabil werden, abstürzen oder falsche Ergebnisse liefern. Da diese Schwachstelle innerhalb eines Softwarepakets in der Regel nicht häufig auftritt, können manuelle White-Box-Techniken eine ausreichende Codeabdeckung und eine Verringerung der Fehlalarme bewirken, wenn alle potenziell anfälligen Operationen innerhalb eines begrenzten Zeitrahmens bewertet werden können. Verwenden Sie, wenn möglich, Bibliotheksaufrufe anstelle von externen Prozessen, um die gewünschte Funktionalität nachzubilden. Alle Daten, die zur Generierung eines auszuführenden Befehls verwendet werden, sollten so weit wie möglich von externer Kontrolle ferngehalten werden. Bei Webanwendungen kann dies beispielsweise bedeuten, dass die Daten lokal im Sitzungsstatus gespeichert werden müssen, anstatt sie in einem verborgenen Formularfeld an den Client zu senden. Bei allen Sicherheitsprüfungen, die auf der Client-Seite durchgeführt werden, muss sichergestellt werden, dass diese Prüfungen auf der Server-Seite dupliziert werden, um CWE-602 zu vermeiden. Angreifer können die clientseitigen Prüfungen umgehen, indem sie Werte ändern, nachdem die Prüfungen durchgeführt wurden, oder indem sie den Client so ändern, dass die clientseitigen Prüfungen vollständig entfernt werden. Diese geänderten Werte würden dann an den Server übermittelt. Es ist zwar riskant, dynamisch erzeugte Abfragezeichenfolgen, Code oder Befehle zu verwenden, die Kontrolle und Daten miteinander vermischen, aber manchmal ist es unvermeidlich. Setzen Sie Argumente ordnungsgemäß in Anführungszeichen und geben Sie alle Sonderzeichen innerhalb dieser Argumente als Escapezeichen aus. Der konservativste Ansatz besteht darin, alle Zeichen, die eine extrem strenge Erlaubnisliste nicht bestehen (z. B. alles, was nicht alphanumerisch oder Leerzeichen ist), zu entschlüsseln oder zu filtern. Wenn einige Sonderzeichen noch benötigt werden, wie z.B. Leerzeichen, umschließen Sie jedes Argument in Anführungszeichen nach dem Escaping/Filterungsschritt. Achten Sie auf die Einschleusung von Argumenten (CWE-88). Wenn das auszuführende Programm die Angabe von Argumenten in einer Eingabedatei oder über die Standardeingabe zulässt, sollten Sie diesen Modus zur Übergabe von Argumenten anstelle der Befehlszeile verwenden. Wenn die Menge der akzeptablen Objekte, wie Dateinamen oder URLs, begrenzt oder bekannt ist, erstellen Sie eine Zuordnung von einer Menge fester Eingabewerte (z. B. numerische IDs) zu den tatsächlichen Dateinamen oder URLs und lehnen alle anderen Eingaben ab. Führen Sie den Code in einer Umgebung aus, die eine automatische Weitergabe von Verunreinigungen vornimmt und die Ausführung von Befehlen verhindert, die verunreinigte Variablen verwenden, wie z. B. der Schalter "-T" von Perl. Dadurch wird das Programm gezwungen, Validierungsschritte durchzuführen, die den Makel entfernen, obwohl Sie darauf achten müssen, Ihre Eingaben korrekt zu validieren, damit Sie nicht versehentlich gefährliche Eingaben als unverfälscht markieren (siehe CWE-183 und CWE-184). Führen Sie den Code in einer Umgebung aus, die eine automatische Weitergabe der Befleckung vornimmt und die Ausführung von Befehlen verhindert, die befleckte Variablen verwenden, wie z. B. der Schalter "-T" von Perl. Dadurch wird das Programm gezwungen, Validierungsschritte durchzuführen, die den Makel entfernen, obwohl Sie darauf achten müssen, Ihre Eingaben korrekt zu validieren, damit Sie nicht versehentlich gefährliche Eingaben als unverdorben markieren (siehe CWE-183 und CWE-184). Verwenden Sie die Durchsetzung von Laufzeitrichtlinien, um eine Liste zulässiger Befehle zu erstellen, und verhindern Sie dann die Verwendung von Befehlen, die nicht in der Liste enthalten sind. Hierfür stehen Technologien wie AppArmor zur Verfügung. Verwenden Sie eine Anwendungsfirewall, die Angriffe auf diese Schwachstelle erkennen kann. Dies kann in Fällen von Vorteil sein, in denen der Code nicht repariert werden kann (weil er von einem Dritten kontrolliert wird), als Notfallpräventionsmaßnahme, während umfassendere Software-Sicherheitsmaßnahmen angewandt werden, oder um eine tiefgehende Verteidigung zu gewährleisten. Führen Sie Ihren Code mit den niedrigsten Rechten aus, die für die Ausführung der notwendigen Aufgaben erforderlich sind [REF-76]. Wenn möglich, erstellen Sie isolierte Konten mit eingeschränkten Rechten, die nur für eine einzige Aufgabe verwendet werden. Auf diese Weise erhält der Angreifer bei einem erfolgreichen Angriff nicht sofort Zugang zum Rest der Software oder ihrer Umgebung. Beispielsweise müssen Datenbankanwendungen nur selten als Datenbankadministrator ausgeführt werden, insbesondere im täglichen Betrieb. Wenn Sie PHP verwenden, konfigurieren Sie die Anwendung so, dass sie register_globals nicht verwendet. Entwickeln Sie die Anwendung während der Implementierung so, dass sie nicht auf diese Funktion angewiesen ist, aber seien Sie vorsichtig bei der Implementierung einer register_globals-Emulation, die Schwachstellen wie CWE-95, CWE-621 und ähnlichen Problemen unterliegt. Einschleusen von OS-Befehlen in Wi-Fi-Router, wie sie in freier Wildbahn per CISA KEV ausgenutzt werden. Schablonenfunktionalität im Netzwerkkonfigurationsmanagement-Tool ermöglicht die Einspeisung von OS-Befehlen, wie im Rahmen von CISA KEV in freier Wildbahn ausgenutzt wurde. Kette: unsachgemäße Eingabevalidierung (CWE-20) im Parameter username, die zur Einspeisung von OS-Befehlen führt (CWE-78), wie sie in freier Wildbahn durch CISA KEV ausgenutzt wurde. Kanonisches Beispiel für OS-Befehlsinjektion. CGI-Programm neutralisiert das Metazeichen "|" nicht, wenn es ein Telefonbuchprogramm aufruft. Die Mail-Funktion des Sprachinterpreters akzeptiert ein weiteres Argument, das zu einer Zeichenkette verkettet wird, die in einem gefährlichen popen()-Aufruf verwendet wird. Da es keine Neutralisierung dieses Arguments gibt, sind sowohl OS Command Injection (CWE-78) als auch Argument Injection (CWE-88) möglich. Der Webserver erlaubt die Ausführung von Befehlen mit dem Zeichen "|" (Pipe). Der FTP-Client filtert "|" nicht aus den vom Server zurückgegebenen Dateinamen, so dass eine OS Command Injection möglich ist. Shell-Metazeichen in einem Dateinamen in einem ZIP-Archiv Shell-Metazeichen in einem telnet://-Link werden nicht korrekt behandelt, wenn die startende Anwendung den Link verarbeitet. OS-Befehlsinjektion über Umgebungsvariable. OS-Befehlsinjektion durch https:// URLs Kette: unvollständige Denyliste für OS-Befehlsinjektion Das Produkt erlaubt entfernten Benutzern die Ausführung beliebiger Befehle durch das Erstellen einer Datei, deren Pfadname Shell-Metazeichen enthält.

Referenzen

MISC Exploit

https://www.binaryworld.it/guidepoc.asp#CVE-2022-45639 Broken Link
http://www.binaryworld.it/ Exploit Vendor Advisory

CPE

cpe	start	ende
Configuration 1
cpe:2.3:a:sleuthkit:the_sleuth_kit:4.11.1:::::::*

REMEDIERUNG

EXPLOITS

Exploit-db.com

id	beschreibung	datum
Keine bekannten Exploits

Andere (github, ...)

Url
http://www.binaryworld.it/

CAPEC

Common Attack Pattern Enumerations and Classifications

id	beschreibung	schweregrad
108	Command Line Execution through SQL Injection Ein Angreifer verwendet Standard-SQL-Injection-Methoden, um Daten zur Ausführung in die Befehlszeile zu injizieren. Dies kann direkt durch den Missbrauch von Direktiven wie MSSQL_xp_cmdshell oder indirekt durch die Einspeisung von Daten in die Datenbank geschehen, die als Shell-Befehle interpretiert werden. Irgendwann später holt eine skrupellose Backend-Anwendung (oder könnte Teil der Funktionalität derselben Anwendung sein) die injizierten, in der Datenbank gespeicherten Daten ab und verwendet diese Daten als Befehlszeilenargumente, ohne eine ordnungsgemäße Validierung durchzuführen. Die bösartigen Daten entkommen dieser Datenebene, indem sie neue Befehle erzeugen, die auf dem Host ausgeführt werden. [Der Angreifer injiziert SQL-Syntax in benutzerkontrollierbare Dateneingaben, um die ungefilterte Ausführung der SQL-Syntax in einer Abfrage zu suchen. [Der Angreifer nutzt einen SQL-Injection-Angriff aus, um Shell-Code zu injizieren, der unter Ausnutzung der xp_cmdshell-Direktive ausgeführt werden soll. [Einschleusen bösartiger Daten in die Datenbank] Der Angreifer nutzt SQL-Injection, um Daten in die Datenbank einzuschleusen, die später zur Befehlsinjektion verwendet werden können, wenn sie als Befehlszeilenargument verwendet werden [Auslösen der Befehlszeilenausführung mit eingeschleusten Argumenten] Der Angreifer veranlasst die Ausführung von Befehlszeilenfunktionen, die zuvor eingeschleuste Datenbankinhalte als Argumente nutzen.	Sehr hoch
15	Befehlsbegrenzer Ein Angriff dieses Typs nutzt die Schwachstellen eines Programms aus, die es einem Angreifer ermöglichen, Befehle an einen legitimen Befehl anzuhängen, um auf andere Ressourcen wie das Dateisystem oder die Datenbank zuzugreifen. Ein System, das eine Filter- oder Denylisten-Eingabevalidierung verwendet, ist im Gegensatz zur Validierung von Zulässigkeitslisten anfällig für einen Angreifer, der Begrenzungszeichen (oder Kombinationen von Begrenzungszeichen) vorhersagt, die im Filter oder in der Denyliste nicht vorhanden sind. Wie bei anderen Injektionsangriffen verwendet der Angreifer die Nutzlast des Befehlsbegrenzers als Einstiegspunkt, um die Anwendung zu tunneln und weitere Angriffe durch SQL-Abfragen, Shell-Befehle, Netzwerk-Scans usw. zu aktivieren. In Situationen, in denen die Laufzeitumgebung des Zielsystems nicht implizit bekannt ist, stellt der Angreifer Verbindungen zum Zielsystem her und versucht, die Laufzeitumgebung des Systems zu ermitteln. Die Kenntnis der Umgebung ist entscheidend für die Wahl der richtigen Begrenzer. [Survey the Application] Der Angreifer untersucht die Zielanwendung, möglicherweise als gültiger und authentifizierter Benutzer [Attempt delimiters in inputs] Der Angreifer versucht systematisch Variationen von Begrenzungszeichen bei bekannten Eingaben und beobachtet dabei jedes Mal die Reaktion der Anwendung. [Bösartige Befehlsbegrenzer verwenden] Der Angreifer verwendet Kombinationen aus Nutzdaten und sorgfältig platzierten Befehlsbegrenzern, um die Software anzugreifen.	Hoch
43	Ausnutzen mehrerer Eingangsinterpretationsschichten Ein Angreifer versorgt die Zielsoftware mit Eingabedaten, die Sequenzen von Sonderzeichen enthalten, mit denen die Logik der Eingabeüberprüfung umgangen werden soll. Diese Schwachstelle beruht darauf, dass die Zielsoftware die Eingabedaten mehrfach durchläuft und bei jedem Durchlauf eine "Schicht" von Sonderzeichen verarbeitet. Auf diese Weise kann der Angreifer Eingaben verschleiern, die andernfalls als ungültig zurückgewiesen würden, indem er sie mit Schichten von Sonder-/Escape-Zeichen überdeckt, die in den nachfolgenden Verarbeitungsschritten entfernt werden. Das Ziel besteht darin, zunächst Fälle zu entdecken, in denen die Eingabevalidierungsschicht vor einer oder mehreren Parsing-Schichten ausgeführt wird. Das heißt, die Benutzereingabe kann in einer Anwendung die folgende Logik durchlaufen: <Parser1> --> <Eingabevalidierer> --> <Parser2>. In solchen Fällen muss der Angreifer eine Eingabe bereitstellen, die den Eingabevalidierer durchläuft, aber nach dem Durchlaufen von Parser2 in etwas umgewandelt wird, das der Eingabevalidierer eigentlich verhindern sollte. [Der Angreifer muss zunächst alle Eingaben der Anwendung/des Systems ermitteln, bei denen eine Eingabeüberprüfung durchgeführt wird und bei denen er diese umgehen möchte. [Bestimmen, welche Zeichenkodierungen von der Anwendung/dem System akzeptiert werden] Der Angreifer muss dann der Anwendung/dem System verschiedene Zeichenkodierungen zur Verfügung stellen und feststellen, welche davon akzeptiert werden. Der Angreifer muss die Reaktion der Anwendung/des Systems auf die kodierten Daten beobachten, um festzustellen, ob die Daten richtig interpretiert wurden. [Kombinieren mehrerer von der Anwendung akzeptierter Verschlüsselungen] Der Angreifer kombiniert nun die von der Anwendung akzeptierten Verschlüsselungen. Der Angreifer kann verschiedene Verschlüsselungen kombinieren oder dieselbe Verschlüsselung mehrfach anwenden. [Der Angreifer nutzt seine Fähigkeit, die Eingabevalidierung zu umgehen, um unbefugten Zugriff auf das System zu erhalten. Es gibt viele mögliche Angriffe, von denen hier einige Beispiele genannt werden.	Hoch
6	Argument-Injektion Ein Angreifer ändert das Verhalten oder den Zustand einer Zielanwendung durch die Injektion von Daten oder Befehlssyntax durch die gezielte Verwendung von nicht validierten und nicht gefilterten Argumenten von exponierten Diensten oder Methoden. [Entdeckung potenzieller Injektionsvektoren] Mithilfe eines automatisierten Tools oder einer manuellen Entdeckung identifiziert der Angreifer Dienste oder Methoden mit Argumenten, die potenziell als Injektionsvektoren verwendet werden könnten (Betriebssystem, API, SQL-Prozeduren usw.). [1. Versuch von Variationen des Argumentinhalts] Möglicherweise unter Verwendung eines automatisierten Tools führt der Angreifer Injektionsvarianten der Argumente durch. [Missbrauch der Anwendung] Der Angreifer injiziert eine bestimmte Syntax in ein bestimmtes Argument, um einen bestimmten bösartigen Effekt in der anvisierten Anwendung zu erzeugen.	Hoch
88	OS-Befehlsinjektion Bei dieser Art eines Angriffs injiziert ein Angreifer Betriebssystembefehle in bestehende Anwendungsfunktionen. Eine Anwendung, die nicht vertrauenswürdige Eingaben zum Aufbau von Befehlsstrings verwendet, ist anfällig. Ein Angreifer kann die Injektion von Betriebssystembefehlen in eine Anwendung ausnutzen, um die Berechtigungen zu erhöhen, beliebige Befehle auszuführen und das zugrunde liegende Betriebssystem zu kompromittieren. [Identifizieren von Eingaben für Betriebssystembefehle] Der Angreifer ermittelt die vom Benutzer kontrollierbaren Eingaben, die als Teil eines Befehls an das zugrunde liegende Betriebssystem weitergegeben werden. Die Anwendung untersuchen] Der Angreifer untersucht die Zielanwendung, möglicherweise als gültiger und authentifizierter Benutzer [Eingaben variieren, nach bösartigen Ergebnissen suchen] Je nachdem, ob es sich bei der auszunutzenden Anwendung um eine entfernte oder lokale Anwendung handelt, bastelt der Angreifer die entsprechenden bösartigen Eingaben, die Betriebssystembefehle enthalten, die an die Anwendung weitergegeben werden sollen [Bösartige Befehle ausführen] Der Angreifer kann Informationen stehlen, einen Hintertür-Zugangsmechanismus installieren, die Berechtigungen erhöhen oder das System auf andere Weise kompromittieren.	Hoch

MITRE

Sherlock® flash

Machen Sie mit wenigen Klicks ein Foto von Ihrem Computernetzwerk !

Mit der Sherlock® flash Audit-Lösung können Sie ein Audit durchführen, um die Sicherheit Ihres Computerbestands zu erhöhen. Scannen Sie Ihre physischen und virtuellen Geräte auf Schwachstellen. Planung von Patches nach Priorität und verfügbarer Zeit. Detaillierte und intuitive Berichte.

Entdecke dieses Angebot

Sherlock® flash: Erste Lösung für sofortige Cybersicherheitsprüfung