Start today, secure tomorrow.

The S-Unit vindt drie kwetsbaarheden met hoge impact in SAS Business Intelligence software

By Sara Jun 06, 2019

Meerdere webservices op de SAS applicatie zijn kwetsbaar voor Java deserialisatie aanvallen en het rest endpoint /SASBIWS/rest/services is kwetsbaar voor XML External Entity aanvallen.

Unauthenticated XML External Entities in SAS BI Web Services 9.4

Het rest endpoint /SASBIWS/rest/services is kwetsbaar voor XML External Entity aanvallen. Er wordt door de REST services gebruik gemaakt van een XML parser voor het verwerken van de requests. Hierbij is de XML parser dusdanig geconfigureerd, dat deze interpretatie van Document Type Definitions en het gebruik van externe (parameter) entiteiten ondersteunt. Dit zorgt ervoor dat het endpoint gebruikt kan worden om content uit externe bronnen te lezen, waaronder lokale bestanden van de onderliggende server en andere servers in het LAN.

PoC:
curl -i -s -k --data-binary ' %y; ]> ' -X $'POST' https://[target]/SASBIWS/rest/services -H $'Content-Type: application/xml'
Informatie en fix: http://support.sas.com/kb/62/987.html
CVE: CVE-2018-20733

Unauthenticated Java deserialisatie in SAS Web Infra Platform en Search Interface to SAS Content

Meerdere webservices op de SAS applicatie zijn kwetsbaar voor Java deserialisatie aanvallen. De SAS applicatie bevat webservices, waarvan een aantal geserialiseerde Java objecten als invoer verwacht. De webservices voeren geen controle uit of de invoer van een vertrouwde bron komt. Hierdoor kunnen deze webservices gebruikt worden om willekeurige Java objecten te laten deserialiseren, wat in veel gevallen kan leiden tot ongewenste resultaten, waaronder volledige overname van de server.

PoC:
java -jar ysoserial.jar BeanShell1 "nslookup rcetest.[target].com"
curl -i -s -k —data-binary sas_beanshell.txt -X $'POST' https://[target]/SASWIPClientAccess/remote/ServiceRegistry -H "Content-type: application/java"
Informatie en fix: https://support.sas.com/kb/63/391.html
CVE: CVE-2018-20732

Reflected Cross-Site Scripting SAS Logon Manager 9.4

De timeout pagina op https://[target]/SASLogon/timeout is nog steeds kwetsbaar voor reflected Cross-Site Scripting. Wanneer er een GET parameter met JavaScript code wordt toegevoegd aan de URL, wordt deze na het klikken op afmelden toegevoegd aan de window.location.href. en wordt de code uitgevoerd.

PoC:
https://[target]/SASLogon/timeout?qq';alert(1);a= 'a
Informatie en fix: http://support.sas.com/kb/55/537.html
CVE: CVE-2015-9281

Pentesting exploits CVE