Citrix软件定义(SD)WAN平台存在三个安全漏洞,可导致远程代码执行和网络接管。
这些漏洞影响Citrix SD-WAN Center(11.2.2之前的11.2版本、11.1.2b之前的11.1版本和10.2.8之前的10.2版本),包括一个存在于stop_ping中的路径遍历和shell注入漏洞(CVE-2020-8271)、一个ConfigEditor身份验证绕过漏洞(CVE-2020-8272)和一个CreateAzureDeployment shell注入漏洞(CVE-2020-8273)。它们的严重性评分尚未公开。
要利用前两个漏洞,攻击者必须能够和SD-WAN Center的Management IP地址或完全限定域名(FQDN)通信,而对于第三个漏洞,攻击者需要经过身份验证。
根据Citrix的公告信息,未经身份验证的攻击者可利用CVE-2020-8271以root权限远程执行代码。Realmode Labs在分析文章中指出,“/collector/diagnostics/stop_ping端点读取文件”/tmp/pid_” . $req_id,并在shell_exec调用中使用其内容。由于未过滤用户提交的$req_id,从而导致路径遍历。攻击者可以借助由用户控制的内容在任意位置置入文件(例如,使用 /collector/licensing/upload)并运行任意shell命令。”
CVE-2020-8272漏洞和CakePHP将URI转换为端点函数参数的方式有关。该漏洞可导致暴露SD-WAN功能
Citrix SD-WAN基础设施以CakePHP2为框架在Apache上运行。Realmode的研究人员发现CakePHP2框架处理URL的方式中存在一个漏洞。为此,Citrix在CakeRequest.php中使用了“_url”函数。
研究人员指出,“如果我们的REQUEST_URI在://后包含?,则该URI的开头部分会被移除。这将导致Apache处理该URI的方式和CakePHP分析该URI的方式存在差异,从而使我们可绕过对Collector端点的客户端证书检查。”
例如,格式为“aaaaaaaaaaaaaaaaa/://?/collector/diagnostics/stop_ping”的URI将转换为/collector/diagnostics/stop_ping,且不要求客户端证书,也不需要身份验证。这就导致未经身份验证的攻击者可访问 ConfigEditor功能。
至于第三个漏洞CVE-2020-8273,由于在AzureDeployment/createAzureDeployment端点中,采用JSON编码用户提交的数据,并使用该代码将该数据拼接成一个exec调用,以下列格式传递参数将会运行shell命令ping -c 5 192.168.1.1。
{“loginData”: “test’;ping -c 5 192.168.1.1;'”, “param”: “1”}
研究人员表示,“确实难以预测CakePHP处理URL的方式。这就是为何对产品执行专门的安全审计如此重要的原因。”
上周,Realmode Labs披露了Silver Peak SD-WAN管理平台Unity Orchestrator中的三个远程代码执行漏洞。未经身份验证的攻击者可组合利用这些漏洞实现网络接管。
研究人员指出他们团队还在另外两个SD-WAN平台上发现类似的漏洞。这些漏洞目前已修复,后续将公开。
SD-WAN是一种基于云的网络方法,适用于大型企业和各种规模的拥有多地点的企业。借助SD-WAN,各个地点和云实例,通过各种类型的连接不但可以实现彼此互联,还可连接至公司资源。SD-WAN通过软件控制管理该过程,包括资源和节点的编排。
SD-WAN是个不断壮大的细分市场,因此也引起了网络犯罪分子的兴趣。遗憾的是,头部SD-WAN厂商在过去也曾发现多种漏洞。
例如,今年3月份,Cisco Systems公司修复了三个高危漏洞。经身份验证的本地攻击者可利用这些漏洞以root权限执行命令。一个月后,Cisco IOS XE中也发现了一个类似的漏洞,Cisco IOS XE是Cisco用于SD-WAN部署的网络互联操作系统基于Linux的版本。
去年12月,Citrix Application Delivery Controller (ADC) 和 Citrix Gateway产品中被曝出一个严重的0-day漏洞,该漏洞可导致设备遭接管和远程执行代码。该0-day漏洞公布后,很快就出现了许多在野攻击活动和公开的exploit。
来源:freebuf.com 2020-11-18 15:26:14 by: 偶然路过的围观群众
请登录后发表评论
注册