CVE-2020-35488 en NXLog Community

vulnerabilidad

El módulo fileop del servicio NXLog en NXLog Community Edition 2.10.2150 permite a atacantes remotos provocar una denegación de servicio (bloqueo del demonio) a través de una carga útil Syslog diseñada para el servicio Syslog

Este ataque requiere una configuración específica. Además, el nombre del directorio creado debe utilizar un campo Syslog. (Por ejemplo, en Linux no es posible crear un directorio ... En Windows, no es posible crear un directorio CON).

Alcance: NXLOG Community Edition 2.10.2150

Tipo de error: CWE-502, deserialización de datos no confiables https://cwe.mitre.org/data/definitions/502.html

Parte vulnerable: carga útil de Syslog

Carga útil:

Unix: 14 de septiembre 14:09:09 .. servicio dhcp [advertencia] 110 El silencio es dorado

Windows: 14 de septiembre 14:09:09 CON servicio dhcp [advertencia] 110 El silencio es dorado

Explotación de la vulnerabilidad

Esta vulnerabilidad puede hacer un DoS del servidor NXLOG.

Pero el servidor debe tener una configuración específica, el archivo de configuración nxlog debe definirse para crear un directorio con un campo de una parte de la carga útil de Syslog.

Campo de Syslog: https://nxlog.co/documentation/nxlog-user-guide/xm_syslog.html#xm_syslog_fields

El software intenta crear un directorio, pero el nombre de este directorio no se puede crear en el sistema de archivos.

Debido al nombre de este directorio está prohibido.

Aquí hay un ejemplo de un nombre de directorio imposible de crear:

Para Windows: CON, PRN, AUX, NUL, COM1, COM2, COM3, COM4, ​​COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8 y LPT9;

Para Linux: ..,.

Entonces, si el archivo de configuración está definido para crear un directorio de nombres con la carga útil de Syslog, un atacante puede desactivar el servicio Nxlog.

Referencias:

https://github.com/GuillaumePetit84/CVE-2020-35488

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2021-01-06. Fecha publicación el 2021-01-06. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST