Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Zer 0 no zer(0 day) dragon jar

Alejandro Fanjul nos compartió en el #DragonJARCON 2020 una charla titulada "Zer o no Zer(0 Day)" cuya descripción es:

Publicar una vulnerabilidad crítica o reportarla a la empresa y que nunca vea la luz? La historia de dos RCEs en dos modelos de Smart TVs de la misma marca. Uno publicado, cuyo exploit terminó siendo utilizado por la botnet Mirai. El otro, reportado a la empresa nunca fué publicado por la misma.

Esta charla presenta el dilema que me planteé tras encontrar dos RCEs en dos modelos de Smart TVs de la misma marca. El primer RCE fué publicado (dado que no conseguí un contacto de la empresa) junto con el exploit. Dicho exploit fué utilizado luego por la botnet Mirai. El segundo RCE fué reportado a la empresa, la cual ofrecía un bounty a cambio de quedarse ellos con los derechos de la vuln y no hacer el disclosure. Al publicar el exploit, ponemos al tanto al mundo que existe la vulnerabilidad, pero no todos se enteran y no es tan fácil y rápido actualizar los dispositivos IoT. Con esto, quedan expuestos a ataques como los de Mirai. Por otro lado, al reportarla a la empresa, la vulnerabilidad nunca es publicada y por lo tanto, si esa vulnerabilidad es descubierta por otro puede ser explotada sigilosamente. Publicar o reportar a la empresa?



-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------

  • Be the first to comment

Zer 0 no zer(0 day) dragon jar

  1. 1. Zer 0 no Zer(0 Day) Alejandro Fanjul
  2. 2. #Whoami 2 Alejandro Fanjul mail: al2fanjul@gmail.com twitter: alefanjul blog: http://mamaquieroserpentester.blogspot.com
  3. 3. Publicar o Reportar en IoT? 3 RCEs encontrados en dos modelos diferentes de Smart TVs LG Uno publicado (LG Supersign) Otro reportado a la empresa (LG Signage) (Esa es la cuestión)
  4. 4. Interacción de las TVs en la red 4
  5. 5. 5 Explotaciones (LA PARTE DIVERTIDA)
  6. 6. LG Supersign 6 Broken Authentication (CVE-2018-16286) Captcha bypass + 4 digit PIN LFI (CVE-2018-16288) DoS vía HTTP Request Reboot (CVE-2018-16706) Vulnerabilities
  7. 7. Captcha Bypass + 4 digit PIN 7
  8. 8. LG Supersign 8 Broken Authentication (CVE-2018-16286) Captcha bypass + 4 digit PIN LFI (CVE-2018-16288) DoS vía HTTP Request Reboot (CVE-2018-16706) Vulnerabilities
  9. 9. LFI 9
  10. 10. LG Supersign 10 Broken Authentication (CVE-2018-16286) Captcha bypass + 4 digit PIN LFI (CVE-2018-16288) DoS vía HTTP Request Reboot (CVE-2018-16706) Vulnerabilities
  11. 11. DoS via Request Reboot 11
  12. 12. 12 1er RCE - Zer(0 Day) (El que vió la luz del día)
  13. 13. RCE (CVE-2018-17173) 13
  14. 14. Shit….Helping the bad guys 14
  15. 15. Lección: 15
  16. 16. LG Signage 16 Broken Authentication Vulnerabilities
  17. 17. 17 2do RCE - No Zer(0 Day) (El que no vió la luz del día)
  18. 18. RCE 18
  19. 19. Lección: 19
  20. 20. 20 Reflexiones (LA PARTE ABURRIDA PERO NECESARIA)
  21. 21. Update your IoT devices...mmmm...not so easy dude... 21
  22. 22. Que nos dice shodan? 22
  23. 23. Que podemos aprender de todo esto? 23
  24. 24. Evaluar la criticidad y el impacto de la vulnerabilidad detectada: 24 Es un dispositivo IoT muy utilizado? Muchos de ellos están expuestos a internet? Sería sencillo aplicar un parche o hacer un upgrade? Me da la opción la empresa de hacer un responsible disclosure?
  25. 25. Un minuto cerebrito... 25 También puedo optar por no reportarlo ni publicarlo
  26. 26. Mmmm... 26
  27. 27. 27 “Publicar o Reportar” Esa es la cuestión
  28. 28. 28 ¡Gracias!
  29. 29. 29 ¿TIENES PREGUNTAS? qlggcud1

    Be the first to comment

  • GabrielCastro115

    Sep. 27, 2020

Alejandro Fanjul nos compartió en el #DragonJARCON 2020 una charla titulada "Zer o no Zer(0 Day)" cuya descripción es: Publicar una vulnerabilidad crítica o reportarla a la empresa y que nunca vea la luz? La historia de dos RCEs en dos modelos de Smart TVs de la misma marca. Uno publicado, cuyo exploit terminó siendo utilizado por la botnet Mirai. El otro, reportado a la empresa nunca fué publicado por la misma. Esta charla presenta el dilema que me planteé tras encontrar dos RCEs en dos modelos de Smart TVs de la misma marca. El primer RCE fué publicado (dado que no conseguí un contacto de la empresa) junto con el exploit. Dicho exploit fué utilizado luego por la botnet Mirai. El segundo RCE fué reportado a la empresa, la cual ofrecía un bounty a cambio de quedarse ellos con los derechos de la vuln y no hacer el disclosure. Al publicar el exploit, ponemos al tanto al mundo que existe la vulnerabilidad, pero no todos se enteran y no es tan fácil y rápido actualizar los dispositivos IoT. Con esto, quedan expuestos a ataques como los de Mirai. Por otro lado, al reportarla a la empresa, la vulnerabilidad nunca es publicada y por lo tanto, si esa vulnerabilidad es descubierta por otro puede ser explotada sigilosamente. Publicar o reportar a la empresa? ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR) -----------------------------------------------------------------------------------------------

Views

Total views

1,302

On Slideshare

0

From embeds

0

Number of embeds

1,128

Actions

Downloads

16

Shares

0

Comments

0

Likes

1

×