Java & Python 未修复漏洞导致跨越防火墙大混乱

本文讲的是Java & Python 未修复漏洞导致跨越防火墙大混乱，发现该漏洞的程序员说：当你找到进入邮件服务器的路时，事情就变得好玩了。

Java & Python有个可以用来翻越防火墙的漏洞。因为俩漏洞都还没被补上，或许今儿是催促你公司开发人员的好日子。

该Java漏洞意味着，通过其FTP实现进行的协议注入，可欺骗防火墙放行互联网TCP连接接入内部主机。

亚历山大·科林克和 Blindspot Security 公司的蒂莫西·摩根，对这两个漏洞有进一步的阐述。

科林克的发现是：Java的 XMLeXternal Entity (XEE)错误处理了FTP连接，因为它没有对Java传到服务器的用户名进行语法检查。

特别是，cr和lf应该是拒绝接受的，但却被放行，让非FTP命令得以注入到连接请求中。科林克的证明展示了如何在FTP连接尝试(即便连接失败)中发送SMTP电子邮件。

EHLO a

MAIL FROM:a@example.org

RCPT TO:alech@alech.de

DATA

From: a@example.org

To: alech@alech.de

Subject: test

test!

.

QUIT
越来越糟

科林克认为，该攻击在特定场景下尤其有趣——从执行XML解析的主机上访问(不受限的，甚至没有垃圾邮件或恶意软件过滤的)内部邮件服务器时。

摩根的贡献，则是实现了用同样的动作经过几步过程突破防火墙高位端口：

1. 获取一个内部IP地址——这很简单：发个URL，看看客户端是怎么动作的，然后尝试另一个，直到攻击成功。
2. 包对齐——这就是该攻击成功的秘诀了。FTP是同步的，意味着两边都在等待自己发出的每一条命令的响应。如果这里出错了，攻击失败！

摩根称他将暂时不公布概念验证脚本，先看看甲骨文(和Python开发者)是怎么回应本披露的。

不过，他设想自己的漏洞利用也可用于中间人攻击、服务器端请求伪造、XEE攻击等等——一旦越过防火墙，桌面主机即便没有安装Java也能被攻击了。

Python同样脆弱，其urllib和urllib2库就是入手点。不过，该注入似乎仅限于在URL中指定目录名的攻击。

至于缓解办法，摩根建议：在桌面和浏览器中禁用Java；在所有防火墙上禁用“经典模式”的FTP。

原文发布时间为：二月 22, 2017
本文作者：nana
本文来自云栖社区合作伙伴安全牛，了解相关信息可以关注安全牛
原文链接：http://www.aqniu.com/threat-alert/23038.html