漏洞概要
关注数(24)
关注此漏洞
漏洞标题:天融信TOS安全操作系统任意文件写入覆盖影响众多系列产品
提交时间:2016-03-16 09:22
修复时间:2016-06-14 14:00
公开时间:2016-06-14 14:00
漏洞类型:设计不当
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2016-03-16: 细节已通知厂商并且等待厂商处理中
2016-03-16: 厂商已经确认,细节仅向厂商公开
2016-03-19: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2016-05-10: 细节向核心白帽子及相关领域专家公开
2016-05-20: 细节向普通白帽子公开
2016-05-30: 细节向实习白帽子公开
2016-06-14: 细节向公众公开
简要描述:
天融信完全自主知识产权的TOS(Topsec Operating System)安全操作系统设计缺陷导致任意文件创建、覆盖以及写入部分数据。影响基于此系统开发的NGFW4000、TopVPN6000、TopGate300等系列产品。可覆盖已有文件,创建新文件,写入内容部分可控。可以伪造session文件,绕过部分权限。
详细说明:
主文件maincgi中有一个类似注册的功能,是在验证权限之前的一个功能块loginRegister。
来跟下如果为loginRegister时候会进行什么操作:
可以看到,如果用户名不存在,就会去fopen('/www/user/用户名',w+)并且写入制定的内容。w+为读写模式,可以创建不存在的文件,也会清空存在的文件进行覆盖。写入的内容不是完全可控的,但是覆盖正常文件做破坏已经很严重了,和任意文件删除效果差不多。
再来看下权限验证的流程:
可以看到,在判断session是否存在到拿取的内容去验证中间还是有几个功能可以无授权访问的。比如destroy_cookie_file()函数,如果看上一篇发的tos的漏洞可以知道,就是它导致的命令执行。那么这个漏洞是否可以绕过上个漏洞的修复补丁呢?
漏洞证明:
在上个tos的命令执行漏洞中,已经证明了影响的系列之多和设备数量之多,达到上万的级别,而且影响的都是企业、学校、政府,私人家庭还是用不起这么贵的设备的。
这里就给出个事例证明漏洞:
就用zoomeye搜索其中一个关键字topsec的第一个设备
1:文件写入(覆盖同理,就不演示了,会产生破坏):
首先我们写入一个文件
访问结果如下:
不是所有的tos系统都是默认root权限,但是普通权限也可以让此漏洞覆盖配置文件、web文件等,造成设备瘫痪。
2:部分权限绕过:
当直接访问的时候
然后我们在cookie目录里写入一个文件
然后我们再访问:
可以看到,权限验证通过了。不知道之前的命令执行修复是不是只判断了session文件是不是存在,不然这个是可以绕过的。
修复方案:
最简单的方法是对所有的输入做过滤,过滤掉目录跳转的字符。
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2016-03-16 13:58
厂商回复:
已确认,谢谢提交
最新状态:
暂无
漏洞评价:
评价
-
2016-03-16 09:22 |
艺术家 ( 普通白帽子 | Rank:537 漏洞数:108 | 我觉得我像个艺术家。)
-
2016-03-16 09:40 |
f4ckbaidu ( 普通白帽子 | Rank:265 漏洞数:33 | 开发真是日了狗了)
-
2016-03-16 09:46 |
带馅儿馒头 ( 核心白帽子 | Rank:1387 漏洞数:155 | 心在,梦在)
-
2016-03-16 09:54 |
坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)
-
2016-03-16 10:18 |
gk_wy ( 路人 | Rank:4 漏洞数:1 | 小白前来讨教)
-
2016-03-16 10:45 |
anting ( 普通白帽子 | Rank:105 漏洞数:38 | 活到老,学到老)
-
2016-03-16 10:47 |
jye33 ( 普通白帽子 | Rank:1271 漏洞数:299 | 没有什么能够阻挡,我对静静的向往)
-
2016-03-16 10:57 |
小胖胖墩 ( 路人 | Rank:18 漏洞数:5 | 对安全的热情不会熄灭)
-
2016-03-16 11:01 |
1c3z ( 普通白帽子 | Rank:307 漏洞数:64 | @)!^)
-
2016-03-16 11:52 |
watchdoge ( 路人 | Rank:14 漏洞数:8 | web汪,渗透狗)
-
2016-03-16 14:00 |
Master ( 实习白帽子 | Rank:33 漏洞数:10 )
-
2016-03-16 20:19 |
明月影 ( 路人 | Rank:12 漏洞数:8 )
-
2016-03-19 22:23 |
江西-浮夸 ( 路人 | Rank:11 漏洞数:1 | 精通 Linux。擅长入侵)
-
2016-03-27 23:50 |
JoyChou ( 路人 | Rank:22 漏洞数:6 | 无)