Zer 0 no zer(0 day) dragon jar
Alejandro Fanjul nos compartió en el #DragonJARCON 2020 una charla titulada "Zer o no Zer(0 Day)" cuya descripción es: Publicar una vulnerabilidad crítica o reportarla a la empresa y que nunca vea la luz? La historia de dos RCEs en dos modelos de Smart TVs de la misma marca. Uno publicado, cuyo exploit terminó siendo utilizado por la botnet Mirai. El otro, reportado a la empresa nunca fué publicado por la misma. Esta charla presenta el dilema que me planteé tras encontrar dos RCEs en dos modelos de Smart TVs de la misma marca. El primer RCE fué publicado (dado que no conseguí un contacto de la empresa) junto con el exploit. Dicho exploit fué utilizado luego por la botnet Mirai. El segundo RCE fué reportado a la empresa, la cual ofrecía un bounty a cambio de quedarse ellos con los derechos de la vuln y no hacer el disclosure. Al publicar el exploit, ponemos al tanto al mundo que existe la vulnerabilidad, pero no todos se enteran y no es tan fácil y rápido actualizar los dispositivos IoT. Con esto, quedan expuestos a ataques como los de Mirai. Por otro lado, al reportarla a la empresa, la vulnerabilidad nunca es publicada y por lo tanto, si esa vulnerabilidad es descubierta por otro puede ser explotada sigilosamente. Publicar o reportar a la empresa? ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR) -----------------------------------------------------------------------------------------------
Recomendados
Recomendados
Mais conteúdo relacionado
Semelhante a Zer 0 no zer(0 day) dragon jar
Semelhante a Zer 0 no zer(0 day) dragon jar (15)
Mais de Jaime Restrepo
Mais de Jaime Restrepo (20)
Último
Último (20)
Zer 0 no zer(0 day) dragon jar
- 1. Zer 0 no Zer(0 Day) Alejandro Fanjul
- 2. #Whoami 2 Alejandro Fanjul mail: al2fanjul@gmail.com twitter: alefanjul blog: http://mamaquieroserpentester.blogspot.com
- 3. Publicar o Reportar en IoT? 3 RCEs encontrados en dos modelos diferentes de Smart TVs LG Uno publicado (LG Supersign) Otro reportado a la empresa (LG Signage) (Esa es la cuestión)
- 4. Interacción de las TVs en la red 4
- 6. LG Supersign 6 Broken Authentication (CVE-2018-16286) Captcha bypass + 4 digit PIN LFI (CVE-2018-16288) DoS vía HTTP Request Reboot (CVE-2018-16706) Vulnerabilities
- 7. Captcha Bypass + 4 digit PIN 7
- 8. LG Supersign 8 Broken Authentication (CVE-2018-16286) Captcha bypass + 4 digit PIN LFI (CVE-2018-16288) DoS vía HTTP Request Reboot (CVE-2018-16706) Vulnerabilities
- 9. LFI 9
- 10. LG Supersign 10 Broken Authentication (CVE-2018-16286) Captcha bypass + 4 digit PIN LFI (CVE-2018-16288) DoS vía HTTP Request Reboot (CVE-2018-16706) Vulnerabilities
- 11. DoS via Request Reboot 11
- 12. 12 1er RCE - Zer(0 Day) (El que vió la luz del día)
- 14. Shit….Helping the bad guys 14
- 15. Lección: 15
- 17. 17 2do RCE - No Zer(0 Day) (El que no vió la luz del día)
- 18. RCE 18
- 19. Lección: 19
- 20. 20 Reflexiones (LA PARTE ABURRIDA PERO NECESARIA)
- 21. Update your IoT devices...mmmm...not so easy dude... 21
- 22. Que nos dice shodan? 22
- 23. Que podemos aprender de todo esto? 23
- 24. Evaluar la criticidad y el impacto de la vulnerabilidad detectada: 24 Es un dispositivo IoT muy utilizado? Muchos de ellos están expuestos a internet? Sería sencillo aplicar un parche o hacer un upgrade? Me da la opción la empresa de hacer un responsible disclosure?
- 25. Un minuto cerebrito... 25 También puedo optar por no reportarlo ni publicarlo
- 26. Mmmm... 26
- 27. 27 “Publicar o Reportar” Esa es la cuestión
- 28. 28 ¡Gracias!