Cross-Site-Scripting-Schwachstelle in Linux-Firewall IPCop
Durch eine Cross-Site-Scripting-Schwachstelle in IPCop kann ein Angreifer das Authentifizierungscookie des Administrators stehlen und sich damit später ohne Kenntnis des Passwortes an der Firewall anmelden.
Durch eine Cross-Site-Scripting-Schwachstelle in IPCop, einer auf Linux aufbauenden Firewall, kann ein Angreifer das Authentifizierungscookie des Administrators stehlen und sich damit ohne Kenntnis des Passwortes an der Firewall anmelden. Dazu ruft der Angreifer im ersten Schritt eine spezielle URL auf, die Skript-Code enthält und damit in der Log-Datei proxylog.dat protokolliert wird. Öffnet der Administrator irgendwann später die Log-Datei im Web-Frontend, kommt der Skript-Code in seinem Browser zur Ausführung. Diese Art von Angriffen, bei der Code nicht sofort nach dem Einschleusen startet, nennt man auch Second Order Code Injection Attacks.
Der Angriff muss aus dem eigenen Netz hinter der Firewall erfolgen, da IPCop nur HTTP-Anfragen aus dem LAN protokolliert. IPCop filtert den eingeschleusten Code nicht aus, sodass der Browser ihn beim Ă–ffnen der Log-Datei im Kontext der Web-Administration startet. Betroffen ist die aktuelle Version 1.4.1 und eventuell vorhergehende. Ein Demo-Exploit ist im Advisory zu der Schwachstelle ebenso enthalten wie ein Workaround zum Beseitigen der LĂĽcke.
Siehe dazu auch: (dab)
- IPCop Cross Site Scripting Vulnerability in "proxylog.dat" von Paul Kurczaba
