- État Fermée
- Pourcentage achevé
- Type Anomalie
- Catégorie LAN
- Assignée à Personne
- Système d'exploitation Freebox Server V7 (Delta)
- Sévérité Critique
- Priorité Très Basse
- Basée sur la version 4.5.1
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par kbot - 22/10/2021
Dernière modification par mbizon - 26/10/2021
Ouverte par kbot - 22/10/2021
Dernière modification par mbizon - 26/10/2021
FS#35831 - RCE vulnerability
Bonjour,
Requête effectuer par la box sur un serveur web apache2 comme en témoigne cette ligne de log. Ce répète régulièrement.
Incompréhension total suite a quelque recherche il semblerais être un Code arbitraire. (RCE)
192.168.1.254 - - [22/Oct/2021:23:19:05 +0200] "GET /index.php?s=/Index/\x5C\x5Cthink\x5C\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36"
Quelle en serait la cause ?
Fermée par mbizon
26.10.2021 20:29
Raison de la fermeture : Résolu
Commentaires de fermeture :
26.10.2021 20:29
Raison de la fermeture : Résolu
Commentaires de fermeture :
la réponse est correcte, si une machine A de votre réseau local se connecte vers IP_PUBLIQUE:PORT, et vous avez une redirection de port configurée vers B pour le port PORT, alors la machine B verra une connexion venant non pas de A, mais de l'IP LAN de la freebox
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Suite épluchage des log
Très intéressant ! :)
Bonjour,
Quelle est l’adresse MAC du Freebox Server ? À quelle fréquence sont envoyées ces requêtes ? Êtes vous sûr qu’il ne s’agit pas d’une machine du réseau local ?
c'est un cms ThinkPHP quelque part sur ton réseau qui est pas a jour
https://securitynews.sonicwall.com/xmlpost/thinkphp-remote-code-execution-rce-bug-is-actively-being-exploited/
https://www.opencve.io/cve/CVE-2019-9082
le CVE se rapportant a la faille
l'adresse mac est la suivante : 20:66:CF:18:31:86
Il n'y a aucun CMS, uniquement un serveur web apache2 d'installer avec une page statique
Les fréquences sont de plusieurs fois par jour et peut importe si il est accessible ou non a l'extérieur du réseau local
quelle version d'apache ? ne pas utiliser la 2.4.49 ni la 2.4.50
et la 2.4.51 semble sans faille , mais surveiller de prés les cve Apache https://www.cvedetails.com/vulnerability-list/vendor_id-45/Apache.html
la meilleur version a utiliser est la branche 2.4.43 au delà il y a trop de failles en cours
Apache 2.4.38
https://www.cvedetails.com/version/278546/Apache-Http-Server-2.4.38.html
Sachant que la question de base n'est pas de quelle version est vulnérable ou pas, mais pourquoi ce genre de requête est envoie par la box en elle même localement
LE CVE correspondant n'est pas lier directement a apache, comme en reporte le liens suivant ou le Repo git open source bms
https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2019-9082
la version 2.4.49 est sensible a des attack RCE
et je suis fatiguer moi ce soir . c'est pas un script venant de ThinPhp
Mais un script qui cherche la faille thinkPHP et dans d'autre comme PHPunit, phpstorm , webkit de safari.
C'est pas la freebox mais un autre périphérique qui passe par HTTP comme un plugin dans un browser qui envoie cela
Vue que certain sont dur de la feuille une image qui vaudra mille mot
//ibb.co/DGqkM3m
pas si la requête HTTP passe via un nom de domaine de ton réseau
Nom de domaine passe par le DNS qui est 192.168.1.254 chez toi
La requête sera vue venant de la Freebox au lieu du périphérique source
Exemple: mon Nas quand je me connecte via L'ip direct, l'authentification voit bien l'ip de mon PC
mais si je me connecte via le nom de domaine configurer sur mon Nas l'authentification vois l'ip du DNS Freebox 192.168.1.254 et pas l'ip de mon PC
Périphérique X > www.domaine.com »> 192.168.1.254 > périphérique W.
pour moi, c'est ce qui se passe chez toi..
sinon vue les gars qui traine ICI le bucktracker serait rempli par ton bug, depuis très longtemps.
Oui bon bref au vu du faible niveau de réfection ici
Et comment la Freebox peut se connecter a mon Nas ? étrange !