Sicherheitsanalysten von OTORIO, Anbieter von Lösungen für OT-Sicherheit, haben zwei Schwachstellen entdeckt, die mehrere Wireless-IIoT-Geräte von Sierra Wireless betreffen.
Sierra Wireless ist Teil von Semtech und ein Anbieter von Konnektivität für kritische Infrastrukturen. Die OTORIO-Forscher entdeckten Schwachstellen, durch die die Geräte für die Ausführung von Remote-Code anfällig sind. Diese neuen Schwachstellen sind Teil der OTORIO-Studie zur Wireless-IIoT-Angriffsfläche, die der Sicherheitsforscher Roni Gavrilov auf der kommenden S4x23-Konferenz am 15. Februar 2023 in Miami vorstellen wird.
Die AirLink-Familie von Sierra Wireless mit Wireless-Gateways und -Modems bietet Unternehmen Lösungen für verschiedene Industrie-, Unternehmens- und Fahrzeuganwendungen. Die von OTORIO identifizierten Schwachstellen befinden sich in den folgenden AirLink-Produkten, die mit dem ALEOS-Betriebssystem arbeiten:
- ALEOS-Softwareversionen vor und einschließlich Version 4.9.7 (ES450, GX450)
- ALEOS-Softwareversionen vor Version 4.16.0 (MP70, RV50, RV50x, RV55, LX40, LX60).
Sierra Wireless und ICS-CERT (CISA) haben Hinweise zu den Sicherheitslücken veröffentlicht.
1. CVE-2022-46649 – Remote-Code-Ausführung
Ein Benutzer mit gültigen ACEManager-Zugangsdaten und Zugriff auf die ACEManager-Schnittstelle kann die IP-Protokollierung manipulieren, um beliebige Shell-Befehle auf dem Gerät auszuführen.
CVSS v3.1 Score: 8.0 (AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
Eine Schwachstelle im ACEManager-Webservice ermöglicht die Einschleusung von Befehlen durch unsachgemäße Handhabung des „-z“-Flags (verantwortlich für die Bereitstellung eines postrotate-Befehls an tcpdump) in Anfragen an /cgi-bin/iplogging.cgi.
Diese Schwachstelle basiert auf einer Umgehung eines von Sierra Wireless im April 2019 veröffentlichten Patches, der die von Talos gemeldete Sicherheitslücke CVE-2018-4061 behebt.
Der reguläre Ausdruck jedes „-z“-Flag (das den postrotate-Befehl darstellt) entfernt ein Leerzeichen, wenn ein Tab, ein Seitenvorschub oder ein vertikaler Tab dahintersteht. Dies erfolgt wie in „tcpdump -z reboot“, das zuvor verwendet wurde, um dieselbe Schnittstelle in CVE-2018-4061 auszunutzen.
Diese Prüfung muss jedoch überarbeitet werden, da es möglich ist, den Befehl ohne Zwischenraum einzufügen. Zum Beispiel umgeht „-zreboot“ leicht den fast drei Jahre alten Patch für die zuvor entdeckte CVE.
Das Ausführen einer beliebigen Binärdatei auf dem System zeigt ein Problem, das es anzugehen gilt. Dennoch kann diese Schwachstelle ohne zusätzliche Arbeit nur eine begrenzte Befehlsausführung auf dem Zielrechner ermöglichen.
Beim Inspizieren des Quellcodes von tcpdump wird -z binary ausgeführt: `execlp(any_binary, filename)`. Im vorliegenden Fall ist der Dateiname fest auf „/tmp/iplogging.pcap“ kodiert, was das Ganze auf die vorhandenen Binärdateien auf dem Rechner beschränkt und keine benutzergesteuerten Parameter zulässt. Dies führt zu einer zusätzlichen Komplexität, um eine Remote-Shell auf dem Rechner zu erreichen.
Um diese Einschränkung zu umgehen, haben die OTORIO-Forscher einen Workaround gefunden, indem sie manipulierte Daten in die Datei „/tmp/iplogging.pcap“ eingefügt haben. Somit ist die Datei sowohl ein gültiges PCAP als auch ein gültiges Shell-Skript, zusammen mit „sh“ als Post-Rotationsbefehl.
Die Daten können in die PCAP-Zieldatei eingefügt werden, indem sie direkt an die entsprechende Schnittstelle übertragen werden. Da jedoch andere Kommunikation auf der Schnittstelle zu Problemen führen kann, besteht eine alternative Lösung darin, die Seite „/cgi-bin/iplogging_upload.cgi“ zu verwenden.
2. CVE-2022-46650 – Offenlegung von sensiblen Informationen
Ein Benutzer mit gültigen ACEManager-Zugangsdaten und Zugriff auf die ACEManager-Schnittstelle kann das Gerät so umkonfigurieren, dass die ACEManager-Zugangsdaten auf der Statusseite vor der Anmeldung angezeigt werden. Dies führt zu einer dauerhaften Backdoor zum System und zur Offenlegung des Admin-Passworts im Klartext.
Die ausführbare Datei Embedded_Ace_Set_Task.cgi ermöglicht die Änderung von Konfigurationswerten innerhalb des Konfigurationsmanagers. Ein Angreifer könnte dies ausnutzen, indem er den Konfigurationsparameter „Device Status Screen“ (55052) aktiviert und den Passwort-Parameter (5003) zur Liste der Parameter hinzufügt, die auf der Pre-Login-Seite (55053) angezeigt werden.
Abhilfemaßnahmen
OTORIO hat Sierra Wireless und die CISA über diese Sicherheitslücken informiert. Die entsprechenden Hinweise finden Sie hier:
Sierra Wireless hat aktualisierte Firmware veröffentlicht, um diese Sicherheitslücken zu schließen. Die Benutzer werden dringend gebeten, ihre Geräte zu aktualisieren, den Zugriff auf die Weboberfläche einzuschränken und sichere Anmeldedaten zu verwenden. Geräte, die dem WAN ausgesetzt sind, sind besonders gefährdet, und es sind sofortige Maßnahmen anzuraten, um dieses Risiko zu mindern.
www.otorio.com