漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-073767
漏洞标题:帕拉迪/华为/江南天安堡垒机高危漏洞获取所有用户密码
相关厂商:pldsec.com
漏洞作者: 王小贝
提交时间:2014-08-25 14:23
修复时间:2014-11-20 14:24
公开时间:2014-11-20 14:24
漏洞类型:设计不当
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-08-25: 细节已通知厂商并且等待厂商处理中
2014-08-25: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-10-19: 细节向核心白帽子及相关领域专家公开
2014-10-29: 细节向普通白帽子公开
2014-11-08: 细节向实习白帽子公开
2014-11-20: 细节向公众公开
简要描述:
帕拉迪堡垒机产品设计上存在安全漏洞,可获得所有用户的账号和密码。因为华为和江南天安OEM了帕拉迪的堡垒机,所以也存在同样的漏洞。
详细说明:
帕拉迪堡垒机针对TELNET和SSH协议,都通过SSH协议连接堡垒机IP的22端口来实现,登陆成功后获得菜单界面(不是普通linux系统的shell),这个菜单界面是有限制的安全的。同时堡垒机默认启用iptables防火墙策略,禁止远程访问堡垒机IP的3306 MYSQL数据库。但是SSH协议还支持Tunnel功能,通过设置Tunnel端口转发,可以访问堡垒机的localhost 127.0.0.1,结合漏洞 WooYun: 江苏电信帕拉迪PLDSEC堡垒机数据库账号泄露 ,就能登录MYSQL所数据库了,进而获取所有用户密码。
同理,不只是访问MYSQL数据库,还可以利用此漏洞去访问原先没有访问权限的主机,因为通过隧道就是以堡垒机的IP去访问服务器了,堡垒机的IP默认都是可信任的来源IP,危害极大。
漏洞证明:
利用这个漏洞首先要有一个合法的普通运维账号,SSH连接堡垒机IP的22端口并设置SSH Tunnel端口转发,通过身份认证后就成功建立了隧道,再通过MYSQL客户端连接127.0.0.1,使用fwuser/fwipsadmin登录数据库。
图就不贴了,厂商应该知道这个漏洞的危害。
修复方案:
关闭SSH的Tunnel功能即可解决此问题。
另外,Mysql口令也可以修改得更加强壮一些。
版权声明:转载请注明来源 王小贝@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-11-20 14:24
厂商回复:
这个漏洞比较老了,早就已经出过升级包了。
最新状态:
2014-08-29:事件涉及版本为早期特殊客户定制版本,据帕拉迪排查,除了漏洞发现人做了少量的测试外,并没有出现恶意的攻击事件,用户的信息安全没有受到影响。目前公司已敦促客户升级对应漏洞补丁。该版本对应通用产品未被用于和任何其他公司OEM/ODM合作,此事件说明中涉及的华为/江南天安漏洞信息不实。躺枪!!!你懂的!!!帕拉迪现行的ST系列产品不受乌云近期发布漏洞影响。帕拉迪一贯对信息安全非常重视,针对此事给用户造成的困扰,帕拉迪诚恳致歉。