当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082784

漏洞标题:锐捷EG系列网关第三次绕过(系列漏洞终结版)

相关厂商:ruijie.com.cn

漏洞作者: 路人甲

提交时间:2014-11-11 11:12

修复时间:2014-12-30 14:44

公开时间:2014-12-30 14:44

漏洞类型:权限控制绕过

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-11: 细节已通知厂商并且等待厂商处理中
2014-11-16: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-01-10: 细节向核心白帽子及相关领域专家公开
2015-01-20: 细节向普通白帽子公开
2015-01-30: 细节向实习白帽子公开
2014-12-30: 细节向公众公开

简要描述:

此漏洞非乌云WooYun-2014-82299漏洞及未审核的wooyun-2014-082472疑似异常信息。是最新版本的缺陷报告!
这份接近2000字的报告是笔者经过一个下午的思考和六个小时的反复测试得到的结果,周一又经过反复测试推翻讨论再测试,最终还是成为了报告,此报告修正了Abaddon周六提交的wooyun-2014-082472疑似异常信息报告的一处漏洞,使得报告更加有说服力,成为一份真正的信息安全通用漏洞0Day报告。
由于笔者没有闲置的EG2000设备,故只能以EG1000系列产品为样本,笔者将设备按官方提示升级到最新版本 版本号为 RGOS 10.3(4b11), 经过测试虽有改观 问题依旧,介于一天在乌云学习经历,问题反而更大了. 经测试 EG1000系列缺陷在最新版本软件下 依然可以大部分复现 只是操作复杂度变得有些复杂. 经分析:厂商回复失实,WooYun-2014-82299 ,WooYun-2014-82327 属实,既然厂商认为补丁已经解决问题,那么新版本的问题便另案处理. 至于RG-2000系列新品和其他设备是否存在类似问题,留给厂商自查自纠,给你们次学习习总群众路线的机会,希望你们此次从群众中来到群众中去,直视自己,查摆问题. 希望厂商实事求是,查摆问题,注意对三位诉求者(白帽子)回访,以大局为重解决问题而不是敷衍了事.希望给三位白帽子20 怎么也要给个18吧@@
[路人甲批注:真是一份一波三折的报告,一如既往的支持锐捷和乌云,原各方在相互磨合中共同进步。因为发现各方问题,使得我们更为完美]

详细说明:

漏洞详情(在wooyun-2014-082472基础上进行修改,剔除验证部严密的东西)
名称:锐捷网络RG-EG1000系列产品存在授权绕过缺陷
异常或问题描述:存在授权绕过读取敏感信息缺陷
涉及范围:至少波及RG-EG1000全系列产品,测试样本版本号 EG1000S RGOS 10.3(4b11)p1, Release(172818)
攻击途径:远程
攻击复杂度:低
攻击成本:低
机密性:完全地
完整性:完全地
可用性:完全得
名称:锐捷网络RG-EG1000系列产品存拒绝服务缺陷
异常或问题描述:设备审计日志失效 (拒绝服务)
涉及范围:至少波及RG-EG1000全系列产品,测试样本版本号 EG1000S RGOS 10.3(4b11)p1, Release(172818)
攻击途径:远程
攻击复杂度:低
攻击成本:低
机密性:完全地
完整性:完全地
可用性:完全得

版本号.jpg


RG-EG 授权绕过终结篇 笔者首先也复现了漏洞,看到厂商的回复 也以为最新版本可以解决问题 但是,介于YY-2012对厂商的质疑也引起了笔者对自己漏洞修复的关注,笔者从仓库里提出一个设备升级到最新版本进行漏洞复现,果然问题依旧,只不过利用难度变得更加了困难而已,但是通过一天的学习,笔者从乌云学会了漏洞挖掘和分析的方法,凭借的不只在是运气和鼠标,而不是像WooYun-2014-82299作者那样,只是神来之笔,灵感乍现. 测试目标系统版本号 RGOS 10.3(4b11)[路人甲批注:原文为RGOS 10.3(4b10)], 介于上次超威蓝猫XSS漏洞后 锐捷的确做出了很多改进,首先修补了几个漏洞,一切为群众所想,出了苹果及安智的APP,这些主动且亲民的做法都是值得肯定的,但是经查,问题依旧且出现更为严重的缺陷!! 首先一个厂商为了降低成本肯定在多个产品中使用一些可复用组件,这个无可厚非,但是一个组件出现问题可能危及全系列产品,所以希望厂商正视 这个没有杀灭的蚂蚁,千里之堤 依然在蚁穴威胁之下!!

//重新加载cache中的数据 //$('#ifdata')[0].contentWindow.location.reload(); $('#ifdata')[0].contentWindow.device = new ($('#ifdata')[0].contentWindow.Device)(); this.make(); }, pointTo : function (id) { if(!this._hasAuth(id)){ alert(Util.isZh ? '该页面不存在或当前用户无权限!':"This page does not exist or the current user without permission!"); return;


新版本作了一些修改如上 以防止疑似 YY2012的 授权绕过 而路人甲的授权绕过和YY2012的授权绕过疑似同属一个原因的不同方法论.但是问题的确依旧 首先无法在添加后门了。

改进.jpg


auth.htm页面即便用超级管理员访问也会跳转到登陆页面或抛出错误. 但是 还是有蚂蚁 千里之堤依然会毁于蚁穴 首先建立一个最小权限用户 TEST

测试用户权限.jpg


使用此权限登陆 权限小于GUEST 用户 所以更能说明问题

登录.jpg


然后来个内网影射 影射到某服务器 这样操作 在登陆后的浏览器内 输入以下命令:

HTTP://路由器有效访问地址/nat_port.htm


[路人甲批注:和ABADDON 上一个版本复现的时候一样,作为这个设备的配置者这里的冲突决不是真的冲突而是厂商做了限制,厂商值得曾赞]

nat.jpg


NAT2.jpg


虽然看不到映射表 操作也失败了 不要气馁 下面更精彩 如果来个淘气的小孩 可能做点坏事 恢复出厂设置把

恢复出厂.jpg


http://192.168.250.1/setsys_reset.htm

于是洞主所有业务和网站被拒绝服务了 呜呜
[路人甲批注:这里我们没点确定,因为复位了太麻烦,能否复位姑且扔到一边,看下面]
增强信息 这个功能比较实用贴心 看看能否非授权访问 

http://52.33.74.74/setsys_strong.htm

失败 返回到登陆页面 接着琢磨
导出数据库 里面或有国家机密 甚至 导致家庭破裂的潜在威胁 哈哈 

http://路由器有效地址/datedown_web.htm


[路人甲批注:这个问题处理得不彻底,不过通过Abaddon的方法已经无效,直觉告诉我还可绕过,但是这里不再赘述,因为这里还不算最核心的问题,扔到一边]
接下来我们干个真格的不绕弯子了 马上接触核心数据

代码setsys_backup.htm


[路人甲批注:这个是成立的,对于存在Guest和配置管理员弱口令的此设备 此设备防护性同虚设,另外此设备对帐户权限的管理也是形同虚设的了]

一击杀敌0.jpg

一击杀敌.jpg

一击杀敌2.jpg


其实,走到这里已经被完全渗透,一切都是浮云了
[路人甲批注: 的确是浮云 正如某位资深白帽子对一次绕过漏洞的评价]
我们在折腾折腾 修改下密码把 

http://192.168.1.1:5233/setsys_passw.htm


[这里Abaddon犯了个错误,经过反复验证,这里提交的数据无效,因为Abaddon把最小权限用户密码改成了超级用户的密码,造成了种错觉,其实这里提交的数据是不生效的,厂商值得称赞,Abaddon过于武断]

修改用户名.jpg


修改用户名2.jpg


<img src="https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/
网管协议 哈哈 核心汇聚 接入敏感信息多汇于此 

http://路由器地址/snmp_server.htm

一切尽收眼底 如果银行的 的 赫赫 理论上可行 但是操作中失败 .
最后测试 重启操作

重新启动.jpg

重新启动,失败.jpg


[路人甲评注: Abadon说成功了,或许上个版本真的成功了,但是,最新版本只是表面上重启了,重启指令并为真正执行]
所有授权绕过操作系统只显示登陆,设备审计中看不到具体操作,导致管理员也无法获知自己被修改了什么..."
一次针对最新版本 RG-EG1000系列产品且配置完备仅存在一个最低权限弱口令的设备的入侵演练 !! 还说啥 经查实 此系列设备最新版本 存在通用0DAY漏洞
设备审计日志缺陷

日志验证.jpg


日志验证结果.jpg


所有操作无审计日志
[路人甲批注:能成功绕过的真没有日志....存在通用0DAY漏洞,因为泄漏了配置,什么都是浮云了]

漏洞证明:

版本号.jpg


nat.jpg


NAT2.jpg


测试用户权限.jpg


登录.jpg


恢复出厂.jpg


修改用户名.jpg


修改用户名2.jpg


重新启动.jpg

重新启动,失败.jpg


一击杀敌0.jpg

一击杀敌.jpg

一击杀敌2.jpg

日志验证.jpg


日志验证结果.jpg

修复方案:

增强用户验证

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-30 14:44

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-11-11 12:17 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    洞主辛苦了,感谢。

  2. 2014-11-16 11:30 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    需然我看不到漏洞内容,但可猜测厂商想回复的内容是:年輕人多讀書,漏洞描述不要那麼浮誇,無關的內容太多了

  3. 2014-11-16 17:57 | 萌萌哒-花粉 ( 路人 | Rank:4 漏洞数:5 | 多乌云 多美女 花粉 顾名思义 就是校花班花...)

    既然无影响 希望乌云和厂商公开

  4. 2014-11-16 20:43 | 绝对领域 ( 路人 | Rank:27 漏洞数:3 | 大穴码农网管)

    洞主求给份消详细说明。。。。我手上太多nbr了,我要确认安全,锐捷最近很不靠谱,我的版本应该是最新的 10.3 4b11 p1t6 r174332

  5. 2014-11-17 07:48 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    @绝对领域 他既然忽略了 就证明没有影响 ,不管你信不反正我信了。我觉得这个忽略的报告还是有点敏感。可以添加管理员IP 限制其他用户 登录,并对外网完全封闭路由安全产品WEB登录端口 从源头上遏制风险,毕竟我们的威胁来自互联网而不是内部用户 ,即便这个问题还存在,我们不让用户接触到那里,还是不会被恶意利用的。不说了 免得被喷

  6. 2014-11-17 07:50 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    @绝对领域 接入交换做ACL 遏制非法访问

  7. 2014-11-17 10:02 | 绝对领域 ( 路人 | Rank:27 漏洞数:3 | 大穴码农网管)

    @abaddon 这几台nbr由于某些因素都是直接公网的,而且需要从公网访问管理。。。。好蛋疼

  8. 2014-11-18 08:16 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    @绝对领域 不想多说 我们的工程师都读书少 过于浮夸 报告无关内容太多,不过这份报告没被忽略还在出现在预警证明还是有一点点的价值的。公网可以尝试 通过SSL VPN访问(为确认NBR 是否支持)锐捷是个让人郁闷的东西,在厂商和有异议的白帽子压力下,我90%公开未公开的漏洞都和锐捷有直接或间接的关系了,。还好乌云对通用漏洞还有次公开定价的机会,如果此报告有一丝经不起推敲的地方,Abaddon和他的小伙伴向乌云五千同好承诺,奖金我们一分不要。希望@疯狗能理解我们心情。

  9. 2014-12-03 11:45 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    漏洞居然提到我了看了内容根本就是跟我的漏洞wooyun-2014-082327提到的越权访问问题一样,@Finger @疯狗 重复啊。。

  10. 2014-12-03 14:12 | 萌萌哒-花粉 ( 路人 | Rank:4 漏洞数:5 | 多乌云 多美女 花粉 顾名思义 就是校花班花...)

    @YY-2012 涉及产品不同 影响版本不同 也不算重复 其实两个报告就够了 这么多的确挺无聊的 作者适度考虑了与wooyun-2014-082327 是否重复关键词不是漏洞重复 而是问题依旧存在:(

  11. 2014-12-03 14:18 | 萌萌哒-花粉 ( 路人 | Rank:4 漏洞数:5 | 多乌云 多美女 花粉 顾名思义 就是校花班花...)

    其实这个是个全系列问题 不仅仅限于NBR 和EG 既然厂商没抓住机会 大家组队吧 WooYun-2014-85594 不知道那位小伙伴 萌萌达

  12. 2014-12-03 14:27 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    @YY-2012 影响的属于不同产品 而且如果归并漏洞 WooYun-2014-82299 是第一个 虽然分析的不够透彻 但是这个是第一次发现此问题

  13. 2014-12-04 04:48 | 萌萌哒-花粉 ( 路人 | Rank:4 漏洞数:5 | 多乌云 多美女 花粉 顾名思义 就是校花班花...)

    @疯狗 我认为这是四个不同的漏洞,虽然几位作者都可以把他写成一份覆盖面更广的报告,但是都没有成功。介于此漏洞对某地代理商影响已经结束,下面开始爆料。这里作为漏洞发掘的旁观者发表下分析和意见,首先此问题涉及锐捷全系列产品是肯定的,因为在漏洞发现后我们经过研究,锐捷所有产品的WEB管理系统文件都是封装于一个单独文件中,之后锐捷操作系统加载并判断设备型号,这在后两个报告中已经暗示,这是一个锐捷的可复用组建,问题存在的根本。处于合作上和政治上的考虑我们提交的时候避开了锐捷的新品系列以降低舆论影响,出于对其他白帽子尊重的考虑避开了NBR系列(wooyun-2014-082327)。出于对前几次与厂商之家关于产品漏洞的对话产生的不愉快及对业务的影响,这次借助第三方与厂商沟通0day问题。不知道是天意是巧合WooYun-2014-82299刚好出现在我们一个无限期讨论的项目实施前夜,而后续的讨论基本上没有什么关于我们项目的,完全集中在了WooYun-2014-82784 ,而整个项目在经历了四个月的漫无边际争论中最后在:2014-11-16 下午半数以上技术人员开始抵制锐捷产品,最终甲乙双方各让一步,以其他国产大厂产品实施、闪电搬的结项。厂商你让你的代理商脸往哪里搁。我感觉作为锐捷的企业认证工程师,即便作为甲方他们对厂商都是有感情的,而选择一种相对自己不熟悉的产品,也暗示了他们以后其他项目的选择。作为代理商集成商我们是没有损失的,由于更换实施产品订单反而更大了,损失的是厂商。订单虽小且这种现场出现0Day碰撞的概率并不高,五千乌云如果每个项目里都与0Day撞上一撞,就是几十亿,然后蝴蝶效应。你们一共资本才多少。WooYun-2014-82299作者路人甲在项目验收后的一句感慨:“锐捷产品设计极其人性化,但是某些方面触及我们底线,值得怀念”。“不同厂商对用户的定义不同,显然锐捷已经不适合你们。”一声叹息。终于逃离这个鬼地方了。

  14. 2014-12-05 09:36 | 绝对领域 ( 路人 | Rank:27 漏洞数:3 | 大穴码农网管)

    @萌萌哒-花粉 的确锐捷的设备已经不在适合我们了,就防火墙来说,一个买的时候刚上市的最新型最高端的防火墙。。。。不到3年换代了,各种特征库也不更新了。回来说nbr,买了几台nbr了,但是从整体使用效果来说并不理想,加之出现这几个安全问题,以及采购使用锐捷设备中出现的诸多不该出现的问题,的确信心大失

  15. 2014-12-05 11:33 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    长篇

  16. 2014-12-09 06:47 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    失去信心不是因为存在漏洞,而是对待漏洞的态度和对其技术力量的猜测。但最失去信心的是其传销搬的营销方式使其有问题的区域代理商不可绕过。