Observium Network Monitor rrdtool.inc.php erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.0$0-$5k0.00

In Observium Network Monitor - eine genaue Versionsangabe ist nicht möglich - wurde eine kritische Schwachstelle gefunden. Dabei geht es um ein unbekannter Prozess der Datei /includes/rrdtool.inc.php. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-77. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Entdeckt wurde das Problem am 01.09.2016. Die Schwachstelle wurde am 10.11.2016 durch Ronald Volgers als [CT-2016-1110] Unauthenticated RCE in Observium network monitor in Form eines bestätigten Mailinglist Posts (Full-Disclosure) an die Öffentlichkeit getragen. Das Advisory kann von seclists.org heruntergeladen werden. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Die Ausnutzbarkeit ist als leicht bekannt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1202. Der folgende Code generiert das Problem:

function rrdtool_pipe_open(&$rrd_process, &$rrd_pipes)
{
 global $config;

 $command = $config['rrdtool'] . " -"; // Waits for input via standard input (STDIN)

 $descriptorspec = array(
    0 => array("pipe", "r"),  // stdin
    1 => array("pipe", "w"),  // stdout
    2 => array("pipe", "w")   // stderr
 );

 $cwd = $config['rrd_dir'];
 $env = array();

 $rrd_process = proc_open($command, $descriptorspec, $rrd_pipes, $cwd, $env);

Insgesamt 55 Tage schien es sich um eine nicht veröffentlichte Zero-Day Schwachstelle gehandelt zu haben. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.

Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. Observium hat offensichtlich vorgängig reagiert.

Die Schwachstellen 93567, 93569 und 93570 sind ähnlich.

Produktinfo

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-77
ATT&CK: T1202

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍

Upgrade: seclists.org

Timelineinfo

01.09.2016 🔍
21.10.2016 +50 Tage 🔍
21.10.2016 +0 Tage 🔍
26.10.2016 +5 Tage 🔍
10.11.2016 +15 Tage 🔍
11.11.2016 +1 Tage 🔍
30.05.2019 +930 Tage 🔍

Quelleninfo

Advisory: [CT-2016-1110] Unauthenticated RCE in Observium network monitor
Person: Ronald Volgers
Status: Bestätigt
Koordiniert: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 11.11.2016 15:54
Aktualisierung: 30.05.2019 09:27
Anpassungen: (1) vulnerability_cwe
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you want to use VulDB in your project?

Use the official API to access entries easily!