Roxy-wi est une web interface en python permettant de paramétrer une infrastructure pour une haute disponibilité via haproxy, nginx ou apache.
En ce mois de juillet 2022 , nous avons 4 failles de sécurité CVE critiques :
Les versions impactées sont celles < 6.1.1.0
Exemple d exploitation des failles de sécurité
Bypass de l'authentification
Via le logiciel burpsuite par exemple, sur la page /app/options.py , envoye la requete comme ci-dessous :
alert_consumer=notNull&serv=roxy-wi.access.log&rows1=10&grep=&exgrep=&hour=00&minut=00&hour1=23&minut1=45
La faille de sécurité vient du faite que si la variable alert_consumer est definie alors la requete est transmise au reste du programme.
RCE via ssh_command et bypass authentification
Afin de pouvoir effectuer ses paramétrages, Roxy-wi utilise des commandes SSH. Il est possible en faisant sauter l’authentification comme vu précédemment de lancer une commande ssh via le paramètre getcert
show_versions=1&token=&alert_consumer=1&serv=127.0.0.1&getcert=;id;
RCE via subprocess_execute et bypass authentification
La fonction subprocess_execute attend deux paramètres non nul :
- ipbackend
- backend_server
Le paramètre ipbackend est celui qui va permettre d’injecter une commande ssh
alert_consumer=1&serv=127.0.0.1&ipbackend=";id+##&backend_server=127.0.0.1
Si vous désirez plus d’info documenté je vous invite à lire cette article très bien fait :
Advisory | Roxy-WI Unauthenticated Remote Code Executions CVE-2022-31137
Pour info il existe aussi un module pour metasploit :
