在与思科UC一起使用的配置平台中发现正在潜伏的未修补错误|shell|应用程序|思科|服务器

研究人员表示，Akkadian Provisioning Manager作为思科统一通信环境中的资源调配工具，具有三个严重程度的安全漏洞，这些漏洞可以链接在一起以启用具有提升权限的远程代码执行(RCE)。

据发现它们的Rapid7研究人员称，这些漏洞仍未修补。

思科的UC套件支持跨业务范围的VoIP和视频通信。该Akkadian产品通常用于大型企业，通过自动化来帮助管理所有UC客户端和实例的供应和配置过程。

Akkadian平台4.50.18版本中存在的问题如下：

·CVE-2021-31579：使用硬编码凭据（在CVSS漏洞严重性等级中评分8.2，总分10）

·CVE-2021-31580和CVE-2021-31581：操作系统命令中使用的特殊元素不正确中和（分别使用exec和vi命令；评分7.9）

·CVE-2021-31582：将敏感信息暴露给未经授权的参与者（评分7.9）

根据Rapid7的说法，将CVE-2021-31579与CVE-2021-31580或CVE-2021-31581结合将允许未经授权的攻击者获得对受攻击设备的root级别的shell访问权限。这使得安装加密矿工、击键记录器、持久性shell和任何其他类型的基于Linux的恶意软件变得非常容易。

同时，研究人员表示，CVE-2021-31582可以允许已经对设备进行身份验证的攻击者更改或删除本地MariaDB数据库的内容，该数据库是MySQL关系数据库管理系统的免费开源分支。在某些情况下，攻击者可以恢复主机组织中使用的LDAP BIND凭据，这些凭据用于向目录服务器验证客户端（及其背后的用户或应用程序）。

该公司在本周的一篇博客文章中提到说：“除了这些问题之外，还有另外两个值得怀疑的发现：读取明文本地MariaDB凭据的能力，以及无意中发送的一份提交历史记录的整个GitHub存储库。”“在撰写本文时，尚不清楚这些发现是否存在特殊的安全问题，仍应由供应商进行审查。”

根据分析，在客户端站点的渗透测试中，Rapid7研究人员能够通过中断设备的启动过程来创建一个root-shell环境。之后，他们能够仔细阅读user/etc/passwd数据库，其中“akkadianuser”是用户名。

同时，“通过调查用户主目录发现了生产服务器上有一组开发人员文件……[包括]用于配置高可用性用户的开发人员配置脚本，这表明高可用性用户使用默认密码‘haakkadianpassword’。”

有了这些凭据，Rapid7就能够使用CVE-2021-31580/81成功绕过受限的shell菜单环境。

CVE-2021-31580/81：通过'exec'和'vi'命令进行Shell转义

Rapid7研究人员发现Akkadian Appliance Manager组件使用的受限shell被设置为默认的bash shell。

根据分析，“Rapid7研究人员通过向SSH客户端提供一个执行参数，将OpenSSH通道从`shell`切换到`exec`。”“这触发了交互式Python脚本未能成功找到`/dev/tty`文件并退出，但是由于shell是在bash shell的上下文中运行的，因此失败的退出条件不会使父shell失败，并且命令被传递进入允许绕过的操作系统。”

研究人员表示，通过将此问题与默认凭据相结合，未经身份验证网络攻击者将获得对具有root权限的交互式shell的无限制访问权限。

Rapid7研究人员进一步发现，使用“vi”（一种流行的基于终端的文本编辑器）的shipped版本也可以绕过Akkadian Appliance Manager组件的受限shell环境。只需点击`:!`，然后点击所需的命令就可以。

在第三个漏洞中，Rapid7研究人员发现该应用程序通过泄露的Web服务器提供敏感数据。

“在Rapid7目录中列出的‘/var/www/html/pme/’目录识别了ionCube打包的PHP文件，但附加的一组文件的权限被标记可读。”“其中许多文件包含可通过Web服务器访问的敏感数据。值得注意的是，`/pme/database/pme/phinx.yml`文件包含明文的本地MariaDB用户名和密码。”

Rapid7研究人员随后能够使用本地shell访问来成功验证凭据，并连接到本地监听的底层MariaDB主机。