Gli sviluppatori di FCKEditor non imparano mai. Dopo numerose falle che avevano afflitto la versione Php consentendo l’upload di file con estensione diversa da quelle consentite quest’oggi anche nella versione ASP è stata trovata la stessa falla.
I ricercatori Mostafa Azizi e Soroush Dalili, infatti, hanno pubblicato un video dove spiegano il funzionamento di questa falla.
[youtube 1VpxlJ5jLO8]
Per sfruttare la vulnerabilità si utilizza il carattere null “%00” che non viene correttamente sanitizzato da FCKEditor e permette di eseguire l’upload di codice ASP in pochi semplici passaggi:
- Si prova ad effettuare l’upload di un file “.asp” o “.aspx” o comunque un file con estensione non consentita;
- Si intercettano gli Headers HTTP tramite uno dei tanti addons creati per questo scopo. Io personalmente utilizzo Fiddler2.
- Si edita l’Http POST di invio file aggiungendo al campo “filename” dell’allegato il carattere “%00” (eseguendo un URL Decode dello stesso) seguito da un’estensione accettata (.txt,.jpg,etc)
Fine!
La gestione errata del carattere “%00” di FCKEditor farà accettare l’upload del file in quanto FCKEditor vedrà l’estensione consentita ma nella fase di salvataggio su filesystem il file verrà salvato con il nome troncato dove era stato inserito il carattere “%00”.
All’atto pratico, quindi, come si vede nel video, uploadando un ipotetico file “shell.aspx%00txt” questo verrà uploadato in quanto con estensione valida “.txt” ma verrà salvato con il nome “shell(1).aspx” ossia fino al carattere “%00”.
La stessa vulnerabilità come indicato ad inizio articolo è presente anche nella versione Php e di seguito potrete vedere un Proof Of Concept molto ben documentato:
File upload-vulnerability-in-fck editor from capn3m0
Consiglio a tutti i Webmaster che utilizzano il comodo FCKEditor di rivedere la configurazione sia per quanto riguarda i file consentiti (molti consentono tutto senza pensare alle possibili implicazioni di sicurezza) sia valutando un alternativa più sicura a questo addons.
Questa una patch che si può applicare in attesa che venga rilasciata una nuova versione corretta:
Aprire il file “config.asp” e dove trovate la seguente riga:
ConfigAllowedExtensions.Add “File”,”estensioni file consentite”
modificate nel seguente modo:
ConfigAllowedExtensions.Add “File”,”^(estensioni file consentite)$”
