RCE: 68.8< Firefox Mobile <80.x Schwachstelle

Es ist vielleicht nicht das schlechteste, daß Mozilla seine Leute rausgekantet hat, denn je weniger da arbeiten, desto weniger können so richtig tief in die Scheiße greifen 🙁

RCE: 68.8< Firefox Mobile <80.x Schwachstelle

Wie gestern Abend von den Hacker News  berichtet wurde, gibt es im FireFox Mobile eine so gravierende Sicherheitslücke, daß sich einem die Fußnägel aufrollen. Wenn man mit einem FF M < Version 80 gemeinsam in einem WLAN oder anderen Netz ist, kann man dem Firefox eine Nachricht senden, und er führt das direkt aus: Eine Remote Code Execution Schwachstelle.Die Schwachstelle wurde im FireFox Mobile 80 für Android gefixt.

Hinweis: In einem FF Mobile 68.8 konnte das Verhalten, trotz absichtlicher Aktivierung des Features nicht reproduziert werden.

FireFox sendet SSDP Pakete ins Netz um Geräte zu finden, die man als Screencast verwenden kann. Das wäre a) der Job vom OS und b) nicht so schlimm, wenn man das Ergebnis, das einem unaufgefordert jeder im Netz senden kann, mal auf SINNVOLLE Werte prüfen würde, statt es BLIND auszuführen.

Über so einen Intent kann man auch Addons oder andere Apps Installieren’und natürlich auch Webseiten mit Exploits besuchen, das macht es so gefährlich.

Kleines Demo gefällig?

Dies Video stammt von Gitlab-Account des Red Teams:

Wer sich mit Android Programmierung nicht auskennt, ein „Intent“ ist eine Anfrage von App A an (meistens) alle anderen Apps, ob die mit dem Inhalt was anfangen können. So brauche ich bspw. als Browser keinen Videoplayer integrieren, weil das eine andere App vermutlich viel besser kann als ich.

Aber selbstverständlich nehme ich als Anwendung dazu keine Infos, die selbst von einer dubiosen anderen Stelle im Netz bekommen habe, sondern leite da nur Sachen hin, die „ich selbst“ erstellt oder runtergeladen habe vom Ziel.

So ein Verhalten ist grob fahrlässig und eines Anfängers ohne Security Schulung würdig, aber doch nicht den Entwicklern eines Marken-Browsers.

Fußnote

NetFlix Mobile scheint auch per SSDP nach Sachen zu suchen, aber ob die Entwickler den gleichen dicken Bug eingebaut haben, ist nicht bekannt. Wer selbst nachsehen will, soltle in seinem WLAN mal das hier starten: „sudo tcpdump -A -n not tcp and not icmp and port ssdp“

SSDP ist das Simple Service Discovery Protocol und gehört als UDP basiertem Dienst zum UPnP, den Universal Plug & Play. Diese ganzen Autodetect Sachen sind als Funktion ganz nett, aber führen immer mal wieder zu Schwachstellen. Per UPnP kann man z.b. als Programm der Firewall sagen, daß man gern ein Loch haben würde für seinen Dienst, ohne das der Firewall-Admin was davon mitbekommt. Wird oft von Instant-Messengern benutzt um durch die DSL-Router zu kommen.

Shitrix is back : Citrix ADC – Mehrere Schwachstellen

Gerade erst ist jemand in Düsseldorf an den Folgen einer schlecht gewarteten Installation von Citrix ADC gestorben, da hat Citirix die nächste Sicherheitslücke für uns parat.

Shitrix is back : Citrix ADC – Mehrere Schwachstellen

Wie das BSI Cert mit Stand 18.9. 2020 mitteilt, sind von einer Privilegien Eskalation folgende Produkte betroffen:

Citrix Systems ADC < 11.1-65.12,
Citrix Systems ADC < 12.1-58.15,
Citrix Systems ADC < 12.1-FIPS 12.1-55.187,
Citrix Systems ADC < 13.0-64.35,
Citrix Systems Citrix Gateway < 13.0-64.35,
Citrix Systems SD-WAN < WANOP 10.2.7b, 
Citrix Systems SD-WAN < WANOP 11.1.2a,
Citrix Systems SD-WAN < WANOP 11.2.1a

Die dazu gehörigen CVE Nummern: CVE-2020-8245, CVE-2020-8246, CVE-2020-8247

Besonders prekär an der Sache:

Ein entfernter, –> anonymer <– oder authentisierter Angreifer kann mehrere Schwachstellen in Citrix Systems ADC, Citrix Systems Citrix Gateway und Citrix Systems SD-WAN ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen, einen Denial of Service zu verursachen oder seine Rechte zu erweitern. Sprich: Jeder kanns. Man sehen ob die Uni Düsseldorf jetzt wieder 9 Monate braucht um gehackt zu werden: https://www.forschung-und-lehre.de/politik/hacker-haben-uniklinik-duesseldorf-erpresst-3110/

Ich frage mich immer, wieso Citrix Ihren Kram nicht einfach per Repo verteilt, das ist doch alles CentOS was die da nutzen.
Update: Es steht zu befürchten, daß die Uni Düsseldorf gar nicht durch die Januar Lücke gehackt wurde, sondern durch DIESE neue Lücke. Zeitlich paßt das, wenn die Hacker den Zero-Day hatten, bevor Citrix das überhaupt patchen konnte. Wenn man nämlich den offiziellen Bericht (s.o.) dazu durchliest, soll das bereits im Januar gepachted und auch geprüft worden sein. Wenn das stimmt, kann es eigentlich nur diese neue Lücke oben sein. Bin mal echt gespannt 😀
Update 20.9.2020:
Der Mailserver der Universitätsklinik Düsseldorf ist noch nicht wieder erreichbar. Gemerkt habe ich das nur, weil ich denen die CVEs zu den neuen ADC Lücken geschickt habe, wir dürfen gespannt sein.