本文介绍了Citrix SD-WAN中的三个高危漏洞,包括CVE-2020-8271远程代码执行、CVE-2020-8272权限绕过和CVE-2020-8273系统命令注入。这些漏洞影响多个版本,攻击者可利用执行任意代码。深信服安全研究团队提供了漏洞分析、影响范围和解决方案,包括升级到最新版本和使用深信服安全产品进行防护。
2020年11月8日,安全研究者Ariel Tempelhof披露,Citrix SD-WAN中存在多个漏洞,影响除最新版本11.2.2,11.1.2b和10.2.8以外的多个版本,攻击者可以利用此漏洞执行任意代码。近日漏洞利用方式被公开,深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。
漏洞名称 : Citrix SD-WAN远程代码执行漏洞(CVE-2020-8271)
Citrix SD-WAN 权限绕过漏洞(CVE-2020-8272)
Citrix SD-WAN 系统命令注入漏洞(CVE-2020-8273)
威胁等级 : 高危
影响范围 : Citrix SD-WAN 11.2 before 11.2.2
Citrix SD-WAN 11.1 before 11.1.2b
Citrix SD-WAN 10.2 before 10.2.8
漏洞类型 : 代码执行
利用难度 : 简单
漏洞分析
1 Cirtix SD-WAN介绍
Citrix SD-WAN是由美国Citrix公司开发的一套广域网集中管理系统,通过虚拟化技术实现企业级的安全广域网,综合利用多条链路,实现负载均衡,并能配置、监控和分析WAN上的所有Citrix SD-WAN设备。
2 漏洞分析
2.2.1 CVE-2020-8271
Citrix SD-WAN通过url匹配实现身份验证。其apache配置文件/etc/apache2/sites-enabled/talari中存在以下内容:
配置文件通过匹配url,如果路径符合正则表达式,则要求访问者拥有SSL CA证书文件。通常情况下执行这一操作的是合法的客户端,持有SD-WAN生成的证书文件。而该组件使用CakePHP解析url的程序如下:
这部分代码从系统的几个环境变量获取内容,其中PATH_INFO不为空,REQUEST_URI需要在://字符串之后有?时,会将REQUEST_URI的开头截断,这样使得Apache解析的uri和CakePHP传入的uri不一致。这可以被用来绕过客户端证书检查。
如以下的uri:
aaaaaaaaaaaaaaaaa/://?/collector/diagnostics/stop_ping
将被截断为:
/collector/diagnostics/stop_ping
这使得apache处理的是未截断的uri而不要求证书,而CakePHP解释截断后的uri而完成涉及敏感文件的操作。这个例子中的文件读取文件/tmp/pid_到变量$req_id,并且经过shell_exec进行执行。漏洞允许将带有命令的文件上传,并以该方法执行任意shell命令。
2.2.2 CVE-2020-8272
CakePHP将uri转换为端点函数参数,端点名称后面的路径的每个元素被视为处理程序函数的参数。而路由函数定义为:
Router::connect('/sdwan_center/nitro/v1/config_editor/:resource/*', array('controller' => 'restApi', 'resource' => '[a-zA-Z]+', 'action' => 'configEditor'));
处理程序函数定义为:
public function configEditor($params, $auth = false,$internal = false)
$auth参数正常情况下只能内部设置,但是当使用异常的参数传入时,可以覆盖原有的$auth变量的值。这使得可以无需验证访问configEditor功能。
2.2.3 CVE-2020-8273
端点AzureDeployment/createAzureDeployment将用户的数据编码为json格式并发送。存在以下代码:
这部分代码将json的一部分传入exec并执行,这导致攻击者可以在合法json数据中注入系统命令并将其执行。
影响范围
【影响版本】
Citrix:SD-WAN:11.2 before 11.2.2;
Citrix:SD-WAN:11.1 before 11.1.2b;
Citrix:SD-WAN:10.2 before 10.2.8;
解决方案
1 修复方案
Citrix 公司已经针对该漏洞发布了更新,请访问以下链接并升级版本
https://support.citrix.com/article/CTX285061
2 深信服解决方案
【深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署云端版云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力。
【深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
时间轴
2020/11/8 CVE-2020-8271等3个漏洞披露
2020/11/16 漏洞poc公开
2020/11/17 深信服千里目安全实验室发布漏洞通告
参考链接
1. https://medium.com/realmodelabs/sd-pwn-part-2-citrix-sd-wan-center-another-network-takeover-a9c950a1a27c
点击,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
