标题：How I Discovered an RCE Vulnerability in Tesla, Securing a $10,000 Bounty

作者：MS17-010 

原文地址：https://medium.com/@sahul1996l/how-i-discovered-an-rce-vulnerability-in-tesla-securing-a-10-000-bounty-62e725c2a6bd

这是关于特斯拉远程代码执行和身份验证绕过漏洞的故事。

介绍

漏洞赏金计划为深入探索网络安全提供了独特的机会，往往引发令人着迷的发现。最近，在我积极参与的安全测试过程中，我发现了特斯拉的一处远程代码执行（RCE）和身份验证绕过漏洞（CVE-2023–46747）。

开始

2023年12月15日，我揭示了一项我在特斯拉内部IP上发现的漏洞。该漏洞是漏洞赏金计划的一部分，该计划奖励那些能够发现安全漏洞的人。我在特斯拉的F5 BIG-IP中发现了一个被标识为CVE-2023–46747的身份验证绕过漏洞。该漏洞具有关键的严重性评级，CVSS分数为9.8。成功利用该漏洞可能允许攻击者在目标系统上执行远程代码。

我的方法论：

“侦察是漏洞狩猎的初始步骤”。

1. 收集了在范围内的域名。

2. 使用各种工具启动主动和被动子域枚举。对于被动子域枚举，我利用了subfinder，并结合了来自不同服务的Shodan、Censys、Chaos、GitHub、Sublist3r等API密钥。对于主动子域枚举，我采用了Assetnote Wordlist中的Best DNS Wordlist。

3. 确定了大约10,789个子域和IP。

4. 下一步是通过基于状态代码的过滤，筛选出活跃域。

5. 迅速确定了具有F5 BIG-IP的内部IP，并使用Wappalyzer进行确认。

6. 这是实际旅程开始的地方。

   最近，我发现了F5 BIG-IP未经身份验证的远程代码执行漏洞（CVE-2023–46747）。

   CVE-2023–46747是一项关键的漏洞。该漏洞允许未公开的请求绕过配置程序身份验证，从而使具有通过管理端口或自身IP地址对BIG-IP系统进行网络访问权限的攻击者能够执行任意系统命令。

   在全副武装的情况下，我成功发现了一个易受攻击的端点（/mgmt/tm/util/bash），存在CVE-2023–46747漏洞。

   该易受攻击的端点（/mgmt/tm/util/bash）允许具有网络访问权限的未经身份验证的攻击者通过管理端口和/或自身IP地址执行任意系统命令。

   确认了漏洞后，下一步任务是寻找一个合适的利用脚本。虽然有许多可用的利用脚本，但其中一些可能导致误报。因此，我选择了一个专注于nuclei模板的利用脚本，这种方法产生了有效的结果。

7. 远程代码执行（RCE）和身份验证绕过的利用过程：

   => 首先，我启动了Nuclei并等待结果。

   => 突然间...！RCE 正在执行；我成功获取了系统ID、用户名和密码。

   => 接下来，我决定通过利用身份验证绕过来加大影响。

   => 所以，我导航到 $ip/mgmt/tm/util/bash 网站，输入用户名和密码，然后突然间！重定向到 F5 BIG-IP 管理面板内部网络。

   接下来，我通过特斯拉的BugCrowd漏洞赏金计划向他们报告了这个问题。

特斯拉已经迅速修复了这个问题，我想要赞扬他们的快速响应。这展示了一家公司严肃对待安全问题并奖励那些帮助他们识别和解决问题的行为的绝佳例子。

每周一9点发布精选内容。

每周三9点发布翻译内容。

更多安全资讯，请关注微信公众号：安全虫。

每周坚持学习与分享，觉得文章对你有帮助可在底部给点个“在看”。