20T51 Krytyczna Podatność Clearpass 6.9.0, 6.8.4, 6.7.12

Pełne Uprawnienia Bez Logowania

Opublikowanie krytycznej podatności dla produktu Clearpass miało miejsce 2 czerwca 2020r. Jeżeli posiadasz ten produkt w swoim środowisku i jeszcze nie zaktualizowałeś do najnowszej wersji swojej instalacji, to zrób to niezwłocznie.

Co zostało ogłoszone?

W ramach programu znajdowania błędów zgłoszone zostały 3 podatności opisane poniżej:

CVE: CVE-2020-7115

Podatność Clearpass Policy Manager’a pozwalająca na ominięcie uwierzytelniania.

Jest to pierwszy etap ataku pozwalający wykorzystać kolejne niżej opisane podatności.

Opisywana podatność umożliwia wykonanie ataku przepełnienia bufora pamięci (Bufor Overflow) . Dzięki wykorzystaniu opisanej podatności atakujący uzyskuje możliwość wykonania dowolnego kodu programu.

Clearpass nie sprawdzał uprawnień dla krytycznych funkcji systemu, dzięki czemu możliwe było po wykonaniu przepełnienia bufora, wykonanie krytycznej funkcji systemu.

Więcej informacji o podatności dostępne poniżej:

https://nvd.nist.gov/vuln/detail/CVE-2020-7115#vulnCurrentDescriptionTitle

CVE-2020-7116, CVE-2020-7117

Drugim etapem ataku, jest wykonanie exploita, czyli programu wykorzystującego inną podatność dającą dostęp do systemu operacyjnego. W przedstawionym zgłoszeniu Daniel Jensen, znalazł 2 funkcje podatne na wykonanie exploita skutecznie.

W rezultacie atakujący ma możliwość wykonywania zdalnych poleceń w systemie operacyjnym, na którym jest osadzona funkcjonalność Clearpassa.

Więcej informacji na temat podatności poniżej:

https://nvd.nist.gov/vuln/detail/CVE-2020-7116

https://nvd.nist.gov/vuln/detail/CVE-2020-7117#vulnCurrentDescriptionTitle

Wszystkie z opisanych podatności zostały znalezione przez Daniel Jensen (@dozernz)

3 Potencjalne konsekwencje

1. Nie ma w przedstawionym zgłoszeniu dalszych szczegółów, ale rozsądnie jest założyć, że przedstawione metody ataku umożliwiają otrzymanie wszystkich informacji przechowywanych w systemie.

Jeżeli więc przetwarzasz w Clearpass’e dane osobowe, to możesz liczyć się z ich wyciekiem.

2. Co gorsza systemy Clearpass prawie zawsze są zintegrowane z systemami krytycznymi, typu domena, czy firewall’e. To oznacza że atakujący może otrzymać automatycznie dostęp do tych systemów.

Często tylko dostęp ograniczony do uprawnień Clearpass’a, ale jak widzisz dostęp administracyjny stwarza ogromne ryzyko nieautoryzowanego dostępu do innych elementów Twojej infrastruktury.

3. Warto tutaj jeszcze poruszyć temat scenariuszy implementacji Clearpass’a, jeżeli masz zaimplementowany CPPM jako klaster 2 systemów pod dostęp pracowniczy (radius) oraz gościnny (Captive Portal), to niestety ryzyko jest jeszcze większe bo wystawiasz interfejs WWW dla dostępu gościnnego.

W przedstawionym zgłoszeniu opisany został sposób ominięcia uwierzytelniania w dostępie do Clearpass Policy Managera, ale zachęcam wszystkich do rozdzielenia CPPM’a świadczącego portal gościnny i przeniesienia go do DMZ’u, na wypadek gdyby w przyszłości znalazł ktoś podatność w module dostępu dla gości.

Podsumowanie

Czy przedstawione podatności są powodem nie używania Clearpassa?

Zdecydowanie, nie.

Prawda jest taka, że każde oprogramowanie ma błędy. Wynika to z prostego faktu, że dostępne oprogramowanie bazuje zawsze na jakiś gotowych bibliotekach. Do tego programiści są ludźmi, a jak wiadomo ludzie popełniają błędy.

Jeżeli wyobrazisz sobie 33 miliony linijek kodu (to tak jakby każdy obywatel Polski napisał jedną linijkę) to jaka jest szansa że wszystko będzie działało bez możliwości użycia części kodu w sposób nieprzewidziany przez programistę?

Czyli można spokojnie założyć ze każde skomplikowane oprogramowanie ma podatności, najczęściej po prostu o nich nie wiemy.

Jak podchodzą do poszukiwań podatności tacy specjaliści jak Daniel Jensen?

Próbują dobrze znanych metod ataku na poszczególne produkty, typ ataku przestawiony tutaj, jest bardzo klasyczny i okazuje się że skuteczny w przypadku Cleaprassa.

Jak przeciwdziałać? Podstawową zasadą jest ograniczenie dostępów do niezbędnego minimum, to nie niweluje podatności w oprogramowaniu, ale znacznie utrudnia ekploatację na wypadek udanego ataku.

Jeżeli nie słyszałeś o podatnościach danego produktu, to zapewne dlatego że producent nie inwestuje w wykrywanie podatności.

Osobiście mam więcej zaufania do producenta transparentnego w tym względzie i publikującego podatności, niż takiego który „zamyka oczy” i woli nie poszukiwać.