歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

CVE-2019-19781 PoC

來源:本站整理 作者:佚名 時間:2020-01-19 TAG: 我要投稿

近日,研究人員發現Citrix Application Delivery Controller (ADC)和Citrix Gateway中存在一個目錄遍歷漏洞,遠程攻擊者利用該漏洞可以發送目錄遍歷請求,從系統配置文件中讀取敏感信息而無需用戶認證,并可以遠程執行任意代碼。該漏洞影響所有支持的產品版本和所有支持的平臺:
• Citrix ADC和Citrix Gateway version 13.0 all supported builds
• Citrix ADC和NetScaler Gateway version 12.1 all supported builds
• Citrix ADC和NetScaler Gateway version 12.0 all supported builds
• Citrix ADC和NetScaler Gateway version 11.1 all supported builds
• Citrix NetScaler ADC和NetScaler Gateway version 10.5 all supported builds
該漏洞CVE編號為CVE-2019-19781,CVSS V3.1評分為9.8。該漏洞是1月10日才公開的,但是Unit 42研究人員已經發現了利用該漏洞的在野掃描活動。
本文分析對該漏洞的根源進行分析,并提供PoC和在野攻擊活動。
漏洞根源分析
該目錄遍歷漏洞是由于對路徑名處理不當引發的。系統并沒有進行數據處理檢查,而是直接使用了請求中的路徑。存在漏洞的系統會接收到一個含有/vpn/../vpns/services.html這樣路徑的請求,運行Citrix產品的apache服務器會將路徑從/vpn/../vpns/簡單地轉為/vpns/。Apache系統中的該漏洞使得遠程攻擊者可以可以在無需用戶認證的情況下利用目錄遍歷請求和訪問敏感文件。
在其他情況中,可能會更加嚴重。該目錄遍歷漏洞可以應用于沒有認證和處理的用戶輸入。因此,攻擊者可以通過POST請求在有漏洞的服務器上構造一個XML文件。之后,當攻擊者用另一個HTTP請求來訪問該文件時,XML文件中的惡意代碼就會執行。
PoC
研究人員在測試環境中構造了以下PoC,并觀察了關于這些目錄遍歷請求的響應。這些PoC表明目錄遍歷請求會被有漏洞的系統成功處理。其中一些請求甚至可以提供敏感文件訪問,導致信息泄露甚至遠程代碼執行。
GET /vpn/../vpns/services.html HTTP/1.1

圖1. PoC請求的成功響應
GET /vpn/../vpns/cfg/smb.conf HTTP/1.1

圖2. PoC請求成功訪問smb.conf文件
GET /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1
GET /vpn/../vpns/portal/scripts/rmbm.pl HTTP/1.1
在野漏洞利用
研究人員發現互聯網上暴露著大量有漏洞的系統。在Shodan上搜索Citrix ADC,就有超過700條有漏洞的Citrix產品。

 圖3. 有漏洞的Citrix主機列表
研究人員發現了該漏洞的多個在野利用。如圖5所示,目錄遍歷請求可以在無需用戶認證的情況下暴露和提取smb.conf。如圖6所示,NSC_USER是在HTTP header中利用目錄遍歷的關鍵,可以引發遠程代碼執行。

 圖4. 在野攻擊活動
 

圖5. 在野目錄遍歷請求
 

圖6. 在野目錄遍歷請求2
建議
Citrix建議用戶應用特定的響應策略來過濾漏洞利用請求。
add responder action respondwith403 respondwith "\"HTTP/1.1 403
Forbidden\r\n\r\n\""
 
add responder policy ctx267027
"HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") &&
(!CLIENT.SSLVPN.IS_SSLVPN ||
HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))"
respondwith403
IoCs
111[.]206[.]59[.]134
111[.]206[.]52[.]101
111[.]206[.]52[.]81
111[.]206[.]59[.]142
104[.]244[.]74[.]47
104[.]168[.]166[.]234
23[.]129[.]64[.]157
27[.]115[.]124[.]70
27[.]115[.]124[.]9
27[.]115[.]124[.]74
45[.]32[.]45[.]46
45[.]83[.]67[.]200
47[.]52[.]196[.]15
47[.]52[.]196[.]152
167[.]88[.]7[.]134
185[.]212[.]170[.]163
5[.]101[.]0[.]209
185[.]220[.]101[.]69
85[.]248[.]227[.]164
192[.]236[.]192[.]119
192[.]236[.]192[.]3
94[.]140[.]114[.]194
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 宝博大厅下载安卓版 青海11选5中奖查询 福彩31选七开奖结果 澳洲幸运5是哪的彩票 足球比分直播即时比分 福建快3三开奖结果今天 王中王精选四肖选一肖 至尊宝友玩广西棋牌 好运彩3d图库总汇 极速11选5规矩 棒球比分的x什么意思 足彩大赢家比分网 炒股游戏app 时时彩怎么选号3期内开 微乐麻将吉林麻将免费开挂 山东江西十一选五