Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Close
  • Type de tâche Anomalie
  • Catégorie LAN
  • Assignée à Personne
  • Système d'exploitation Freebox Server V7 (Delta)
  • Sévérité Critique
  • Priorité Normale
  • Basée sur la version 4.5.1
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
  • Votes 0
  • Privée Non
Concerne le projet: Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)
Ouverte par Chellali Kevin (kbot) - 22/10/2021
Dernière édition par Maxime Bizon (mbizon) - 26/10/2021

FS#35831 - RCE vulnerability

Bonjour,
Requête effectuer par la box sur un serveur web apache2 comme en témoigne cette ligne de log. Ce répète régulièrement.
Incompréhension total suite a quelque recherche il semblerais être un Code arbitraire. (RCE)

192.168.1.254 - - [22/Oct/2021:23:19:05 +0200] "GET /index.php?s=/Index/\x5C\x5Cthink\x5C\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36"

Quelle en serait la cause ?

Close par  Maxime Bizon (mbizon)
mardi 26 octobre, 2021 20:29:42
Raison de clôture :  Résolu
Commentaires supplémentaires de clôture :  la réponse est correcte, si une machine A de votre réseau local se connecte vers IP_PUBLIQUE:PORT, et vous avez une redirection de port configurée vers B pour le port PORT, alors la machine B verra une connexion venant non pas de A, mais de l'IP LAN de la freebox

Cette tache ne dépend pas d'autre tache

Chellali Kevin (kbot)
vendredi 22 octobre, 2021 22:15:56

Suite épluchage des log

192.168.1.254 - - [20/Oct/2021:19:11:46 +0200] "GET /solr/admin/info/system?wt=json HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:19:11:59 +0200] "GET /sftp-config.json HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:19:13:06 +0200] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:19:13:54 +0200] "GET /index.php?s=/Index/\x5C\x5Cthink\x5C\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:20:41:56 +0200] "GET /console/ HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:20:42:21 +0200] "GET /?a=fetch&content=%3Cphp%3Edie(@md5(HelloThinkCMF))%3C/php%3E HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:20:43:55 +0200] "GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:20:45:25 +0200] "GET / HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
Neustradamus (Neustradamus_)
samedi 23 octobre, 2021 00:12:41

Très intéressant ! :)

Anisse Astier (aastier)
lundi 25 octobre, 2021 15:30:14

Bonjour,

Quelle est l’adresse MAC du Freebox Server ? À quelle fréquence sont envoyées ces requêtes ? Êtes vous sûr qu’il ne s’agit pas d’une machine du réseau local ?

Marc_ANG... (docmarc)
mardi 26 octobre, 2021 18:26:09

c’est un cms ThinkPHP quelque part sur ton réseau qui est pas a jour

https://securitynews.sonicwall.com/xmlpost/thinkphp-remote-code-execution-rce-bug-is-actively-being-exploited/

Marc_ANG... (docmarc)
mardi 26 octobre, 2021 18:29:38

https://www.opencve.io/cve/CVE-2019-9082

le CVE se rapportant a la faille

Chellali Kevin (kbot)
mardi 26 octobre, 2021 18:31:47

l’adresse mac est la suivante : 20:66:CF:18:31:86
Il n’y a aucun CMS, uniquement un serveur web apache2 d’installer avec une page statique
Les fréquences sont de plusieurs fois par jour et peut importe si il est accessible ou non a l’extérieur du réseau local

Marc_ANG... (docmarc)
mardi 26 octobre, 2021 18:37:57

quelle version d’apache ? ne pas utiliser la 2.4.49 ni la 2.4.50

et la 2.4.51 semble sans faille , mais surveiller de prés les cve Apache https://www.cvedetails.com/vulnerability-list/vendor_id-45/Apache.html

la meilleur version a utiliser est la branche 2.4.43 au delà il y a trop de failles en cours

Chellali Kevin (kbot)
mardi 26 octobre, 2021 18:47:18

Sachant que la question de base n’est pas de quelle version est vulnérable ou pas, mais pourquoi ce genre de requête est envoie par la box en elle même localement

Chellali Kevin (kbot)
mardi 26 octobre, 2021 18:48:48

LE CVE correspondant n’est pas lier directement a apache, comme en reporte le liens suivant ou le Repo git open source bms
https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2019-9082

Marc_ANG... (docmarc)
mardi 26 octobre, 2021 18:59:15

la version 2.4.49 est sensible a des attack RCE

et je suis fatiguer moi ce soir . c’est pas un script venant de ThinPhp

Mais un script qui cherche la faille thinkPHP et dans d’autre comme PHPunit, phpstorm , webkit de safari.

C’est pas la freebox mais un autre périphérique qui passe par HTTP comme un plugin dans un browser qui envoie cela

Chellali Kevin (kbot)
mardi 26 octobre, 2021 19:12:06

Vue que certain sont dur de la feuille une image qui vaudra mille mot
//ibb.co/DGqkM3m

Marc_ANG... (docmarc)
mardi 26 octobre, 2021 19:43:47

pas si la requête HTTP passe via un nom de domaine de ton réseau

Nom de domaine passe par le DNS qui est 192.168.1.254 chez toi

La requête sera vue venant de la Freebox au lieu du périphérique source

Exemple: mon Nas quand je me connecte via L’ip direct, l’authentification voit bien l’ip de mon PC

mais si je me connecte via le nom de domaine configurer sur mon Nas l’authentification vois l’ip du DNS Freebox 192.168.1.254 et pas l’ip de mon PC

Périphérique X > www.domaine.com »> 192.168.1.254 > périphérique W.

pour moi, c’est ce qui se passe chez toi..

sinon vue les gars qui traine ICI le bucktracker serait rempli par ton bug, depuis très longtemps.

 
Chellali Kevin (kbot)
mardi 26 octobre, 2021 19:56:45

Oui bon bref au vu du faible niveau de réfection ici

Marc_ANG... (docmarc)
mardi 26 octobre, 2021 20:12:29

Et comment la Freebox peut se connecter a mon Nas ? étrange !

www.angelini.ovhimgconnexions.jpg

Chargement...