FS#35831 : RCE vulnerability

État Fermée
Pourcentage achevé
100%
Type Anomalie
Catégorie LAN
Assignée à Personne
Système d'exploitation Freebox Server V7 (Delta)
Sévérité Critique
Priorité Très Basse
Basée sur la version 4.5.1
Due pour la version Non décidée
Échéance Non décidée
Votes
Privée

Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par kbot - 22/10/2021
Dernière modification par mbizon - 26/10/2021

FS#35831 - RCE vulnerability

Bonjour,
Requête effectuer par la box sur un serveur web apache2 comme en témoigne cette ligne de log. Ce répète régulièrement.
Incompréhension total suite a quelque recherche il semblerais être un Code arbitraire. (RCE)

192.168.1.254 - - [22/Oct/2021:23:19:05 +0200] "GET /index.php?s=/Index/\x5C\x5Cthink\x5C\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36"

Quelle en serait la cause ?

Fermée par mbizon
26.10.2021 20:29
Raison de la fermeture : Résolu
Commentaires de fermeture :

la réponse est correcte, si une machine A de votre réseau local se connecte vers IP_PUBLIQUE:PORT, et vous avez une redirection de port configurée vers B pour le port PORT, alors la machine B verra une connexion venant non pas de A, mais de l'IP LAN de la freebox

Commentaires (15)
Tâches liées (0/0)

kbot a commenté le 22.10.2021 22:15

Suite épluchage des log

192.168.1.254 - - [20/Oct/2021:19:11:46 +0200] "GET /solr/admin/info/system?wt=json HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:19:11:59 +0200] "GET /sftp-config.json HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:19:13:06 +0200] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:19:13:54 +0200] "GET /index.php?s=/Index/\x5C\x5Cthink\x5C\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"

192.168.1.254 - - [20/Oct/2021:20:41:56 +0200] "GET /console/ HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:20:42:21 +0200] "GET /?a=fetch&content=%3Cphp%3Edie(@md5(HelloThinkCMF))%3C/php%3E HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:20:43:55 +0200] "GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
192.168.1.254 - - [20/Oct/2021:20:45:25 +0200] "GET / HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"

Neustradamus_ a commenté le 23.10.2021 00:12

Très intéressant ! :)

aastier a commenté le 25.10.2021 15:30

Bonjour,

Quelle est l’adresse MAC du Freebox Server ? À quelle fréquence sont envoyées ces requêtes ? Êtes vous sûr qu’il ne s’agit pas d’une machine du réseau local ?

docmarc a commenté le 26.10.2021 18:26

c'est un cms ThinkPHP quelque part sur ton réseau qui est pas a jour

https://securitynews.sonicwall.com/xmlpost/thinkphp-remote-code-execution-rce-bug-is-actively-being-exploited/

docmarc a commenté le 26.10.2021 18:29

https://www.opencve.io/cve/CVE-2019-9082

le CVE se rapportant a la faille

kbot a commenté le 26.10.2021 18:31

l'adresse mac est la suivante : 20:66:CF:18:31:86
Il n'y a aucun CMS, uniquement un serveur web apache2 d'installer avec une page statique
Les fréquences sont de plusieurs fois par jour et peut importe si il est accessible ou non a l'extérieur du réseau local

docmarc a commenté le 26.10.2021 18:37

quelle version d'apache ? ne pas utiliser la 2.4.49 ni la 2.4.50

et la 2.4.51 semble sans faille , mais surveiller de prés les cve Apache https://www.cvedetails.com/vulnerability-list/vendor_id-45/Apache.html

la meilleur version a utiliser est la branche 2.4.43 au delà il y a trop de failles en cours

kbot a commenté le 26.10.2021 18:42

Apache 2.4.38
https://www.cvedetails.com/version/278546/Apache-Http-Server-2.4.38.html

kbot a commenté le 26.10.2021 18:47

Sachant que la question de base n'est pas de quelle version est vulnérable ou pas, mais pourquoi ce genre de requête est envoie par la box en elle même localement

kbot a commenté le 26.10.2021 18:48

LE CVE correspondant n'est pas lier directement a apache, comme en reporte le liens suivant ou le Repo git open source bms
https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2019-9082

docmarc a commenté le 26.10.2021 18:59

la version 2.4.49 est sensible a des attack RCE

et je suis fatiguer moi ce soir . c'est pas un script venant de ThinPhp

Mais un script qui cherche la faille thinkPHP et dans d'autre comme PHPunit, phpstorm , webkit de safari.

C'est pas la freebox mais un autre périphérique qui passe par HTTP comme un plugin dans un browser qui envoie cela

kbot a commenté le 26.10.2021 19:12

Vue que certain sont dur de la feuille une image qui vaudra mille mot
//ibb.co/DGqkM3m

docmarc a commenté le 26.10.2021 19:43

pas si la requête HTTP passe via un nom de domaine de ton réseau

Nom de domaine passe par le DNS qui est 192.168.1.254 chez toi

La requête sera vue venant de la Freebox au lieu du périphérique source

Exemple: mon Nas quand je me connecte via L'ip direct, l'authentification voit bien l'ip de mon PC

mais si je me connecte via le nom de domaine configurer sur mon Nas l'authentification vois l'ip du DNS Freebox 192.168.1.254 et pas l'ip de mon PC

Périphérique X > www.domaine.com »> 192.168.1.254 > périphérique W.

pour moi, c'est ce qui se passe chez toi..

sinon vue les gars qui traine ICI le bucktracker serait rempli par ton bug, depuis très longtemps.

kbot a commenté le 26.10.2021 19:56

Oui bon bref au vu du faible niveau de réfection ici

docmarc a commenté le 26.10.2021 20:12

Et comment la Freebox peut se connecter a mon Nas ? étrange !

	Tâches associées à cette tâche (0)

Chargement...

Raccourcis clavier

Activer les raccourcis clavier

Alt + ⇧ Shift + l Se connecter/Se déconnecter
Alt + ⇧ Shift + a Ouvrir une tâche
Alt + ⇧ Shift + m Mes recherches
Alt + ⇧ Shift + t Rechercher par ID de tâche

Liste des tâches

o Ouvrir la tâche sélectionnée
j Déplacer le curseur vers le bas
k Déplacer le curseur vers le haut

Détails de la tâche

n Tâche suivante
p Tâche précédente
Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
Alt + ⇧ Shift + w Surveiller
Alt + ⇧ Shift + y Fermer cette tâche

Édition de la tâche

Alt + ⇧ Shift + s Enregistrer la tâche