当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0122337

漏洞标题:锐捷EG易网关guest越权,可执行任意命令,通过vpn直接渗透内网

相关厂商:ruijie.com.cn

漏洞作者: 纳米翡翠

提交时间:2015-06-23 19:17

修复时间:2015-06-25 11:12

公开时间:2015-06-25 11:12

漏洞类型:命令执行

危害等级:高

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-23: 细节已通知厂商并且等待厂商处理中
2015-06-24: 厂商已经确认,细节仅向厂商公开
2015-06-25: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

最近看到锐捷关于rsr npe的漏洞
正好身边有人使用锐捷的产品,但是个EG网关,借过来研究了一下发现问题同样出现在锐捷的EG网关上,而且发现尽然存在任意命令执行

详细说明:

漏洞证明:

1.百度搜索:“请输入您的RG-EG易网关的用户名和密码”

QQ截图20150623184620.png


QQ截图20150623184634.png


QQ截图20150623184801.png


QQ截图20150623184808.png


QQ截图20150623184815.png


2,找了一个登录抓包

QQ截图20150623180345.png


QQ截图20150623180427.png


发现参数很有意思
command=执行的命令
strurl=应该是当前的运行模式挖掘后发现有exec config等
mode=priv_exec直接特权模式
3.于是show run一下

QQ截图20150623180613.png


注意到这里有一个webmaster level 0 1 2
通过了解0的级别是最高的,也就是权限是最好的,1和2 依次减低
那我是否可以直接通过执行
webmaster level 0 username guest password guest来提升权限呢?试一下

QQ截图20150623182116.png


把strurl改成config即可执行成功
如此说来我就可以直接执行所有的命令啦,但没必要这么麻烦了。再查看show run最下面发下有telnet的密码信息

QQ截图20150623183023.png


于是直接telnet进来了

QQ截图20150623183113.png


然后嘛,就是配置一个vpn,直接内网漫游了

QQ截图20150623190820.png


好吧,我是好孩子,配置已经还原了
试了百度搜索出来的十来个链接,发现弱口令都有
http://www.jincai.sh.cn:12315/index.htm
http://jsgz.cn/
http://xczp.qhrcsc.com
http://lbszx.com
http://www.zmjsjt.cn
http://wcjy.zhjedu.cn/index.htm
http://www.lflszx.com
http://www.jyxqxx.com:88/index.htm
http://www.lvtaotao.com
http://oa.haotel.com
http://www.tzcgps.cn/index.htm
百度那么多没敢一个一个试
话说我看到其它漏洞,厂商回复已经做了补丁,但这些还在受害的用户,明显他们还不知道该问题,那该怎么办?
对了,话说最近看到锐捷发了一个新网关产品 eg350,看链接好像web是用的php的,通过挖掘已经发现部分漏洞,版本号(EG_RGOS 11.1(3)B1T3, Release(02162111)),但不知道是不是厂商的遗留版本,如果不是请告知,我会补出来,如果是那就忽略吧。

修复方案:

版权声明:转载请注明来源 纳米翡翠@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-06-24 09:42

厂商回复:

最新状态:

2015-06-25:设备软件版本升级到最新版本即可解决此问题。

2015-06-25:设备软件版本升级到最新版本即可解决此问题

漏洞评价:

评论

  1. 2015-06-24 00:52 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    关注中...

  2. 2015-06-25 16:41 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    如何配置VPN呢?

  3. 2015-06-25 20:03 | Security ( 路人 | Rank:25 漏洞数:9 )

    @scanf http://www.ruijie.com.cn/fw/wt-eg-1/

  4. 2015-06-26 20:44 | 纳米翡翠 ( 普通白帽子 | Rank:316 漏洞数:42 | 翡翠虽小、价值极高,追求极致、共建安全)

    @scanf so easy

  5. 2015-06-26 21:36 | 纳米翡翠 ( 普通白帽子 | Rank:316 漏洞数:42 | 翡翠虽小、价值极高,追求极致、共建安全)

    妈妈问我,没有责任心的厂家能做大吗?

  6. 2015-06-28 10:24 | wy007 ( 实习白帽子 | Rank:95 漏洞数:10 | 其实我是一名卧底...)

    赞一个,感觉思路很不错!

  7. 2015-06-28 10:34 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了,也来挖挖漏洞,为创建安全...)

    程序员思维,非产口化思维。为什么不推进用户软件升级?明知有缺陷又不招回,难道要与日本汽车同流?

  8. 2015-06-28 12:49 | 纳米翡翠 ( 普通白帽子 | Rank:316 漏洞数:42 | 翡翠虽小、价值极高,追求极致、共建安全)

    @nzk1912 所以说厂家不怎么负责任

  9. 2015-06-28 21:54 | 大漠長河 ( 实习白帽子 | Rank:43 漏洞数:7 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区欢迎您...)

    WooYun: 锐捷EG系列网关第三次绕过(系列漏洞终结版) 我不想粗口 你们的最新版本这个问题解决了吗 不解决漏洞巡诊客户还有啥意义。@ruijie.com.cn

  10. 2015-06-28 22:10 | 大漠長河 ( 实习白帽子 | Rank:43 漏洞数:7 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区欢迎您...)

    WooYun: 锐捷网络NBR系列产品存在越权读取所有账号密码等问题 解决了吗. 不修补漏洞派几个工程师到处巡检就能安抚你们受伤的客户吗。出离愤怒

  11. 2015-06-28 22:13 | 大漠長河 ( 实习白帽子 | Rank:43 漏洞数:7 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区欢迎您...)

    @纳米翡翠 这厂商水深。。。

  12. 2015-06-28 23:05 | 大漠長河 ( 实习白帽子 | Rank:43 漏洞数:7 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区欢迎您...)

    未查看 web 2015.04.27.16 重要更新:修复用户跨权限访问无权限页面漏洞 虽然反射弧长点,但终究还是修复了。。。