LFI Log Poison

O Local File Inclusion (LFI) combinado com log poisoning é uma cadeia de ataque poderosa que pode escalar de divulgação de informações para execução remota de código. Vulnerabilidades LFI ocorrem quando aplicações web incluem arquivos do sistema de arquivos do servidor baseados em entrada controlada pelo usuário sem validação adequada. Quando atacantes encadeiam LFI com técnicas de log poisoning, eles podem injetar código malicioso em arquivos de log do servidor e então incluir esses logs através da vulnerabilidade LFI para alcançar execução de código.

Entendendo o Local File Inclusion

Vulnerabilidades LFI surgem quando aplicações usam entrada do usuário para construir caminhos de arquivo para inclusões dinâmicas. Um padrão comum envolve um parâmetro de página como page=dashboard que a aplicação traduz para um caminho de arquivo para inclusão. Se a aplicação não sanitiza adequadamente essa entrada, atacantes podem usar sequências de travessia de diretórios (../) para escapar do diretório pretendido e ler arquivos arbitrários no servidor, como /etc/passwd, arquivos de configuração da aplicação ou logs do servidor.

Como o log poisoning funciona

O log poisoning aproveita o fato de que servidores web registram detalhes de requisições - incluindo cabeçalhos User-Agent, URLs e outros dados controlados pelo cliente - em arquivos de log. Um atacante envia uma requisição com código malicioso (como código PHP) injetado no cabeçalho User-Agent. O servidor web escreve esse código em seu arquivo de log de acesso. Quando o atacante então usa a vulnerabilidade LFI para incluir o arquivo de log, o servidor web processa o código injetado, alcançando execução remota de código. Esta técnica transforma uma inclusão de arquivo somente leitura em comprometimento completo do servidor.

Cadeia de ataque na prática

Um ataque típico de LFI para RCE através de log poisoning segue um processo metódico: primeiro, o atacante confirma a vulnerabilidade LFI lendo arquivos conhecidos. Em seguida, identifica a localização dos arquivos de log do servidor (comumente /var/log/apache2/access.log ou /var/log/nginx/access.log). Depois injeta um payload de código através de um cabeçalho HTTP que é registrado. Finalmente, inclui o arquivo de log envenenado através da vulnerabilidade LFI para executar seu código. Esta cadeia de ataque demonstra como vulnerabilidades aparentemente menores podem ser encadeadas para impacto devastador.

Prevenção e detecção

A defesa contra LFI e log poisoning requer múltiplas camadas de segurança. Aplicações devem usar listas brancas para inclusões de arquivo em vez de depender de listas negras ou sanitização. A validação de entrada deve prevenir sequências de travessia de diretórios. Configurações do servidor web devem restringir o mecanismo PHP de processar arquivos de log. Permissões de arquivo devem limitar quais arquivos o processo da aplicação web pode ler. O monitoramento de segurança deve alertar sobre padrões incomuns de acesso a arquivos e entradas de log suspeitas contendo padrões semelhantes a código.