高危Aruba ClearPass远程执行代码漏洞暴露底层系统 – 作者:偶然路过的围观群众

Aruba ClearPass Policy Manager中修复了一个高危安全漏洞,该漏洞可致主机系统遭受远程利用。

Aruba ClearPass Policy Manager软件是一款用于IoT、自带设备和企业网络上的访客设备的安全接入网闸。该漏洞被归类为一个未经身份认证的远程代码执行漏洞。

该漏洞编号为CVE-2020-7115,CVSS评分为8.1,是由安全研究人员Daniel “Dozer”Jensen发现的。

在一篇博客文章中,该名安全研究人员表示该漏洞与ClearPass处理证书验证的方式相关。

如果客户端证书被上传至某个端点,依赖于OpenSSL库的ClearPass会将该内容拷贝至使用Java createTempFile函数创建的/tmp/目录中的一个临时文件。

该函数给予该文件一个随机的名称和固定的扩展。该研究人员解释称,该软件接着“通过判断是否请求中的密码参数能够解密该证书”尝试验证客户端证书。

这是通过将该临时文件名和密码作为参数传递至一个shell脚本执行的。然而,该“password”参数未能被正确引用。

另外,虽然不知道该随机生成的文件名对漏洞利用是潜在的壁垒,但是,通过使用通配符“*,”,该shell脚本在查询过程中会自动替换合法的路径。

因此,如果文件被放置在可以解释为OpenSSL引擎文件的磁盘上,攻击者通过绕过面向公众的系统上现有身份验证过程,可以控制“-engine”参数并执行任意代码。

Aurba的安全公告指出,“成功绕过,攻击者可以在底层操作系统中远程执行命令。”

厂商已发布Aruba ClearPass Policy Manager 6.9.1版本,修复了该漏洞。

Jensen提供了PoC代码。但该PoC作用有效,只能工作一次,因为它依靠传递多个clientCertFiles作为参数,这是一种不合法的调用OpenSSL的机制。

然而,有办法解决这个问题。该名研究人员披露了一个只涉及变换几个字符的过程。

“攻击者可轻易利用该漏洞入侵任何公开暴露的,尚未修复的ClearPass实例。”Jensen评论道。“幸好大部分面向公众的实例都已修复。”

除了CVE-2020-7115,该网络厂商还为CVE-2020-7116和CVE-2020-7117漏洞发布了补丁。

这两个漏洞也是由Jensen报告的,都是存在于Aruba ClearPass Policy Manager WebUI接口的远程执行代码漏洞。

虽然这两个漏洞也可以被用于影响底层操作系统,但是攻击者必须经过身份认证,极大地限制了漏洞带来的风险。

————————————————————————————————————

消息来源Port Swigger;转载请注明出处。

来源:freebuf.com 2020-09-22 14:37:53 by: 偶然路过的围观群众

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论