Pandora FMS ist ein Monitoring-System das mit Hilfe einer Applikation gewartet & bearbeitet werden kann. In dem Monitoring-System gibt es verschiedene Benutzerrollen die auch alle unterschiedliche Privilegien besitzen. Pandora FMS ist allein schon deshalb interessant für Penetrationstests, weil es einen größeren Umfang hat der klar strukturiert ist. Außerdem muss eine Applikation zum überwachen eines Systems natürlich sicher sein, sonst bringt die ganze Implementation einem Endanwender/Administrator herzlich wenig. Bei unseren Tests haben wir 4 Schwachstellen Typen gefunden (mehrfach) wovon wir eine Sicherheitslücke als kritisch einstufen. Pandora ist hauptsächlich für Linux Systeme produziert worden und hat eine sehr komfortable Navigation, bei der Überwachung von Diensten.

Als erstes haben wir ein paar “Input Validation Errors” gefunden die sich von der Client- oder Serverseite ausnutzen lassen würden …

Im folgenden Bild könnt ihr sehen wie wir eine Stelle ausfindig machen im Source die sich benutzen lässt um automatisiert alle Server aus einer Kategorie zu löschen. Diese Art von Angriff wäre dann eine Cross-Site-Request-Forgery Attacke.

Dann konnten wir noch einen Parameter ausmachen der das lcoale einbinden von PHP Dateien erlaubt und somit eine “File-Inclusion” ermöglicht. Ein potenzieller Angreifer könnte jeden beliebigen Dateinamen aufrufen und am Ende würde dann die Dateiendung .php vom Script angehangen …

Am Ende haben ich bei meinem Test noch eine SQL-injection gefunden die einschleusen von Statements ermöglicht. Die Sicherheitslücke findet sich in der “Incident – Add Notes” Funktion …

Wer möchte kann sich im folgenden Link den zer0day Advisory anschauen …

Advisory: Pandora FMS v2.1.x  &  v1.3.1 – Multiple Vulnerabilities

[Writer: ~remove]