Alienvault USM/OSSIM 5.2 conf/reload.php back DOM Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.1$0-$5k0.00

In Alienvault USM sowie OSSIM 5.2 wurde eine problematische Schwachstelle ausgemacht. Dabei geht es um ein unbekannter Codeteil der Datei conf/reload.php. Mittels Manipulieren des Arguments back mit der Eingabe \%27;alert(/XSS/);// kann eine Cross Site Scripting-Schwachstelle (DOM) ausgenutzt werden. CWE definiert das Problem als CWE-79. Auswirken tut sich dies auf die Integrität. Die Zusammenfassung von CVE lautet:

Cross-site scripting (XSS) vulnerability in AlienVault OSSIM before 5.3 and USM before 5.3 allows remote attackers to inject arbitrary web script or HTML via the back parameter to ossim/conf/reload.php.

Die Entdeckung des Problems geschah am 24.05.2016. Die Schwachstelle wurde am 23.08.2016 durch Julien Ahrens von RCE Security als RCESEC-2016-005 in Form eines bestätigten Mailinglist Posts (Full-Disclosure) öffentlich gemacht. Das Advisory findet sich auf seclists.org. Die Veröffentlichung passierte hierbei in Koordination mit Alienvault. Die Verwundbarkeit wird seit dem 22.08.2016 als CVE-2016-6913 geführt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk angegangen werden. Das Ausnutzen erfordert eine einfache Authentisierung. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1059.007 bezeichnet.

Ein öffentlicher Exploit wurde in URL/Javascript realisiert und direkt nach dem Advisory veröffentlicht. Unter seclists.org wird der Exploit zum Download angeboten. Er wird als proof-of-concept gehandelt. Mindestens 91 Tage galt die Schwachstelle als nicht öffentlicher Zero-Day. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Ein Suchen von inurl:conf/reload.php lässt dank Google Hacking potentiell verwundbare Systeme finden. Der durch den Exploit genutzte Code gestaltet sich wie folgt:

<script type="text/javascript">
    $(document).ready(function(){
      if (typeof(top.refresh_notifications) == 'function')
      {
        top.refresh_notifications()
      }
           
     document.location.href = '\\';alert(/XSS/);//';
    });
</script>

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Zusätzliche Informationen finden sich unter alienvault.com.

Produktinfo

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.4
VulDB Meta Temp Score: 5.2

VulDB Base Score: 5.4
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 5.4
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Name: DOM
Klasse: Cross Site Scripting / DOM
CWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Programmiersprache: 🔍
Download: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍
Exploit Delay Time: 🔍

Timelineinfo

24.05.2016 🔍
24.05.2016 +0 Tage 🔍
23.06.2016 +30 Tage 🔍
02.08.2016 +40 Tage 🔍
22.08.2016 +20 Tage 🔍
23.08.2016 +1 Tage 🔍
23.08.2016 +0 Tage 🔍
23.08.2016 +0 Tage 🔍
25.08.2016 +2 Tage 🔍
26.09.2016 +32 Tage 🔍
04.04.2019 +920 Tage 🔍

Quelleninfo

Advisory: RCESEC-2016-005
Person: Julien Ahrens
Firma: RCE Security
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2016-6913 (🔍)
SecurityFocus: 92632 - AlienVault USM/OSSIM CVE-2016-6913 Cross Site Scripting Vulnerability

scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍

Eintraginfo

Erstellt: 25.08.2016 15:25
Aktualisierung: 04.04.2019 21:26
Anpassungen: 25.08.2016 15:25 (68), 04.04.2019 21:26 (14)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!