¿Qué hacer cuando se publica una nueva vulnerabilidad en un servicio que utilizamos? Veremos una vulnerabilidad reciente, analizaremos el método de explotación y aprenderemos a proteger nuestro servidor vulnerable.

1. Sobreviviendo al exterior con tu IPS
Carlos Brendel

2. Sobreviviendo al exterior con tu IPS
Carlos Brendel
• Ingeniero de Telecomunicaciones
por la Universidad Politécnica de
Valencia (UPV).
• Estudiando el Máster de
Ciberseguridad en la universidad
Oberta de Cataluña (UOC).
• Técnico analista en el SOC de
Telefónica.

3. Qué es un IPS?

4. Sobreviviendo al exterior con tu IPS
Intrusion Prevention System
• Sistema que cursa y monitoriza tráfico.
• Procesa los paquetes en busca de
actividad maliciosa, aceptándolos o
bloqueándolos en función del
resultado.
• Basado en firmas o anomalías.
AB
GIF FW

5. Cómo redactar una firma?

6. Sobreviviendo al exterior con tu IPS
Redacción básica de firmas
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT] ( [MSG]; [SID]... )
Definición parámetros de la conexión:
- Origen
- Destino
- Puertos
- Protocolo
- Cabeceras
- Payload
Definición acción a tomar:
- Pass
- Alert
- Drop
- Reject

7. Sobreviviendo al exterior con tu IPS
Redacción básica de firmas
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…;
[SID]; )
- Content Modifiers
- Sticky buffer
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

8. Sobreviviendo al exterior con tu IPS
Redacción básica de firmas
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…;
[SID]; )
Ejemplos:
- alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(msg:"GET a recurso megasecreto!";
content: "GET"; http_method;
content: "recursomegasecreto"; http_uri;
http_referer; pcre: "/cuevasdelsmalosllamadosw+/i";
sid:2;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

9. Sobreviviendo al exterior con tu IPS
Redacción básica de firmas
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…; [SID]; )
Ejemplos:
- alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"GET a recurso megasecreto!";
content: "GET"; http_method; content: "recursomegasecreto"; http_uri; http_referer; pcre:
"/cuevasdelsmalosllamadosw+/i"; sid:2;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

10. Entorno

11. Sobreviviendo al exterior con tu IPS

12. Sobreviviendo al exterior con tu IPS
Entorno
- IPTABLES
- SURICATA

13. Dejad que os cuente una historia...
Basado en hechos reales

14. Sobreviviendo al exterior con tu IPS

15. Sobreviviendo al exterior con tu IPS

16. Sobreviviendo al exterior con tu IPS

17. Sobreviviendo al exterior con tu IPS

18. Sobreviviendo al exterior con tu IPS
Cambios:
• High -> Critical
• plugin -> Multipart parser
• malicious a -> a malicious

19. Cuánto tardó en publicarse el exploit?

20. Sobreviviendo al exterior con tu IPS

21. Cuánto tardaron en publicar firmas?

22. Sobreviviendo al exterior con tu IPS

23. Sobreviviendo al exterior con tu IPS

24. Sobreviviendo al exterior con tu IPS

25. Sobreviviendo al exterior con tu IPS

26. Mientras tanto en internet...

27. CVE-2017-5638

28. Sobreviviendo al exterior con tu IPS
CVE-2017-5638
Definición CVE: "The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32
and 2.5.x before 2.5.10.1 has incorrect exception handling and error-message
generation during file-upload attempts, which allows remote attackers to execute
arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-
Length HTTP header, as exploited in the wild in March 2017 with a Content-Type
header containing a #cmd= string. " - https://cve.mitre.org

29. Sobreviviendo al exterior con tu IPS
CVE-2017-5638
Definición CVE: "The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before
2.5.10.1 has incorrect exception handling and error-message generation during file-upload attempts,
which allows remote attackers to execute arbitrary commands via a crafted Content-Type, Content-
Disposition, or Content-Length HTTP header, as exploited in the wild in March 2017 with a Content-
Type header containing a #cmd= string. " - https://cve.mitre.org
Traducción al mundo real: Tras el error provocado por un "Content-Type" no
válido, la expresión no se escapa y se utiliza por la función
"LocalizedTextUtil.findText" para generar el mensaje de error. Pero esta función
interpreta como OGNL (Object-Graph Navigation Language, cosas de Java...)
todo código entre %{...}
GIF GIRL!

30. Sobreviviendo al exterior con tu IPS
CVE-2017-5638
Definición CVE: "The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before
2.5.10.1 has incorrect exception handling and error-message generation during file-upload attempts,
which allows remote attackers to execute arbitrary commands via a crafted Content-Type, Content-
Disposition, or Content-Length HTTP header, as exploited in the wild in March 2017 with a Content-
Type header containing a #cmd= string. " - https://cve.mitre.org
Traducción al mundo real: Tras el error provocado por un "Content-Type" no
válido, la expresión no se escapa y se utiliza por la función
"LocalizedTextUtil.findText" para generar el mensaje de error. Pero esta función
interpreta como OGNL (Object-Graph Navigation Language, cosas de Java...)
todo código entre %{...}
GIF GIRL!

31. Sobreviviendo al exterior con tu IPS
Análisis exploit

32. Sobreviviendo al exterior con tu IPS
Análisis exploit

33. Sobreviviendo al exterior con tu IPS
Análisis exploit

34. Sobreviviendo al exterior con tu IPS
Análisis exploit

35. Sobreviviendo al exterior con tu IPS
Análisis exploit

36. Sobreviviendo al exterior con tu IPS
Análisis exploit

37. Sobreviviendo al exterior con tu IPS
Análisis exploit

38. Sobreviviendo al exterior con tu IPS
Análisis exploit

39. Sobreviviendo al exterior con tu IPS
POC

40. Redacción de la firma

41. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…;
[SID]; )
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

42. Sobreviviendo al exterior con tu IPS
CVE-2017-5638
Definición CVE: "The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32
and 2.5.x before 2.5.10.1 has incorrect exception handling and error-message
generation during file-upload attempts, which allows remote attackers to execute
arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-
Length HTTP header, as exploited in the wild in March 2017 with a Content-Type
header containing a #cmd= string. " - https://cve.mitre.org

43. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…;
[SID]; )
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

44. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…; [SID]; )
Primera firma:
- drop tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(msg:"Detectado exploit Apache Struts – CVE-2017-5638!";
content: "GET"; http_method;
http_content_type; content: "#cmd=";
sid:3;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

45. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…; [SID]; )
Primera firma:
- drop tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(msg:"Detectado exploit Apache Struts – CVE-2017-5638!";
content: "GET"; http_method;
http_content_type; content: "#cmd=";
sid:3;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html
¿?

46. Sobreviviendo al exterior con tu IPS

47. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…; [SID]; )
Primera firma:
- drop tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(msg:"Detectado exploit Apache Struts – CVE-2017-5638!";
content: "GET"; http_method;
http_content_type; content: "#cmd=";
sid:3;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

48. Sobreviviendo al exterior con tu IPS

49. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…; [SID]; )
Primera firma:
- drop tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(msg:"Detectado exploit Apache Struts – CVE-2017-5638!";
content: "GET"; http_method;
http_content_type; content: "#cmd=";
sid:3;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

50. Redacción de la firma_buena

51. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…;
[SID]; )
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

52. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…;
[SID]; )
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

53. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…; [SID]; )
Segunda firma:
- drop tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(msg:"Detectado exploit Apache Struts – CVE-2017-5638!";
content: "GET"; http_method;
http_content_type; content: "java.lang.ProcessBuilder"; nocase;
sid:4;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

54. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…; [SID]; )
Segunda firma:
- drop tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(msg:"Detectado exploit Apache Struts – CVE-2017-5638!";
content: "GET"; http_method;
http_content_type; content: "java.lang.ProcessBuilder"; nocase;
sid:4;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html
¿?

55. Sobreviviendo al exterior con tu IPS

56. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…; [SID]; )
Segunda firma:
- drop tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(msg:"Detectado exploit Apache Struts – CVE-2017-5638!";
content: "GET"; http_method;
http_content_type; content: "java.lang.ProcessBuilder";
sid:4;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

57. Redacción de la firma_buena_final

58. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…;
[SID]; )
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

59. Sobreviviendo al exterior con tu IPS

60. Sobreviviendo al exterior con tu IPS

61. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…; [SID]; )
Tercera firma:
- drop tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(msg:"Detectado exploit Apache Struts – CVE-2017-5638!";
content: "GET"; http_method;
http_content_type; pcre: "/%{(#[^}]+}/"; content: "ognl"; nocase;
sid:5;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

62. Sobreviviendo al exterior con tu IPS
Redacción de firma
[ACTION] [PROTOCOL] [SOURCE] [SPORT] [DIRECTION] [DESTINATION] [DPORT]
( [MSG]; [CONTENT]; [MODIFIER]; [STICKY BUFFER]; [CONTENT1]; [CONTENT2];…; [SID]; )
Tercera firma:
- drop tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(msg:"Detectado exploit Apache Struts – CVE-2017-5638!";
content: "GET"; http_method;
http_content_type; pcre: "/%{(#[^}]+}/"; content: "ognl"; nocase;
sid:5;)
http://suricata.readthedocs.io/en/latest/rules/http-keywords.html

63. CASO REAL

64. Sobreviviendo al exterior con tu IPS

65. Sobreviviendo al exterior con tu IPS

66. Sobreviviendo al exterior con tu IPS

67. Sobreviviendo al exterior con tu IPS

68. Sobreviviendo al exterior con tu IPS
kworker.conf
kworker

69. CONCLUSIÓN

70. Sobreviviendo al exterior con tu IPS
Step By Step
• Entender en qué consiste la vulnerabilidad
• Entender cómo funciona el exploit de la PoC
• Montar pequeño laboratorio
• Let the fun begin!

71. Sobreviviendo al exterior con tu IPS
Step By Step
• Entender en qué consiste la vulnerabilidad
• Entender cómo funciona el exploit de la PoC
• Montar pequeño laboratorio
• Let the fun begin!

72. Sobreviviendo al exterior con tu IPS
Máquina utilizada
CVE-2017-5638
https://mega.nz/#!HjRRWTYZ!tEPSChwUkZ8PNHs6mUkR_ICfxIyjkKjGrGQN-nnYFt0
debian:debian
root:debian

73. Muchas gracias!
ClicGIF looney toonsk to
add text