SD-PWN 第二部分 — Citrix SD-WAN Center — 又一次网络接管

作者：Ariel Tempelhof
阅读时间：4分钟 · 2020年11月15日

众所周知，Citrix非常重视安全性。本文将讲述我们如何在Citrix SD-WAN平台中获得远程代码执行权限。

公平地说，我们对Silver Peak和其他两家领先的网络公司也进行了类似的分析，这些将在未来的文章中披露。我们发现的所有漏洞都允许完整的远程代码执行。这是否代表了SD-WAN整体安全性的问题？

如果您使用Citrix SD-WAN，请立即更新。这是一个重大漏洞，允许攻击者拦截流量或摧毁整个国际网络。

谁不喜欢蛋糕？

Tenable的Chris Lyne之前研究过Citrix SD-WAN。他展示了一个直达SD-WAN设备的RCE链。他的《Bug猎手的CakePHP入门》对我们帮助很大。

Citrix SD-WAN的基础设施变化不大。它仍然运行在Apache上，使用CakePHP2作为框架。

安全审计最重要的部分之一是检查过去的工作，并验证过去的修复是否已正确实施。Tenable披露的主要漏洞是通过使用Collector端点绕过认证来访问诊断功能。Citrix决定通过在Apache配置（/etc/apache2/sites-enabled/talari）中添加以下访问限制来阻止此访问：

1
2
3
4
5
6

SSLCACertificateFile /home/talariuser/certificates/apnaware_cert.pem
...
<LocationMatch (?i)^/collector/>
 SSLVerifyClient require
 SSLVerifyDepth 0
</LocationMatch>

这看起来是合理的。要使用Collector端点，必须提供由供应商签名的客户端证书。由于我们找不到绕过此限制的方法，无法发送以/Collector/开头的请求。但CakePHP2框架如何处理URL？让我们看看CakeRequest.php中的_url函数：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

protected function _url() {
 if (!empty($_SERVER['PATH_INFO'])) {
  return $_SERVER['PATH_INFO'];
 } elseif (isset($_SERVER['REQUEST_URI']) && strpos($_SERVER['REQUEST_URI'], '://') === false) {
  $uri = $_SERVER['REQUEST_URI'];
 } elseif (isset($_SERVER['REQUEST_URI'])) {
  $qPosition = strpos($_SERVER['REQUEST_URI'], '?');
  if ($qPosition !== false && strpos($_SERVER['REQUEST_URI'], '://') > $qPosition) {
   $uri = $_SERVER['REQUEST_URI'];
  } else {
   $uri = substr($_SERVER['REQUEST_URI'], strlen(FULL_BASE_URL));
  }
...
 return $uri;
}

简单来说，如果我们的REQUEST_URI在://之后包含?，URI的开头将被移除。这会导致Apache和CakePHP对URI的解析出现差异，从而使我们能够绕过Collector端点的客户端证书检查。形如aaaaaaaaaaaaaaaaa/://?/collector/diagnostics/stop_ping的URI将被转换为/collector/diagnostics/stop_ping，既不需要客户端证书也不需要认证。

我们内部讨论过这到底是Citrix的漏洞还是更广泛的CakePHP2漏洞。我们尚未得出结论，很乐意听取您的意见。

实际的CVE漏洞

未认证路径遍历和Shell注入（stop_ping）— CVE-2020-8271

/collector/diagnostics/stop_ping端点读取文件"/tmp/pid_" . $req_id，并将其内容用于shell_exec调用。对用户提供的$req_id未进行任何清理，允许路径遍历。攻击者可以在任何位置放置用户控制内容的文件（例如，使用/collector/licensing/upload）并运行任意shell命令。

ConfigEditor认证绕过 — CVE-2020-8272

这是一个有趣的漏洞，与CakePHP将URI转换为端点函数参数的方式有关。URI路径中端点名称之后的每个元素都将被视为处理函数参数。如果我们有路由器定义：

1

Router::connect('/sdwan_center/nitro/v1/config_editor/:resource/*', array('controller' => 'restApi', 'resource' => '[a-zA-Z]+', 'action' => 'configEditor'));

而我们的处理函数定义是：

1

public function configEditor($params, $auth = false,$internal = false)

$auth参数专门用于内部调用，不应从外部设置。但是，使用以下URI：

/sdwan_center/nitro/v1/config_editor/config_packages/test2=test2/test3/test4

将导致以下参数分配：

1
2
3
4

$resource = "config_packages;
$params = "test2=test2"
$auth = "test3";
$internal = "test4";

由于现在分配了$auth参数，所有configEditor功能都可在无需认证的情况下访问。

CreateAzureDeployment Shell注入 — CVE-2020-8273

在AzureDeployment/createAzureDeployment端点中，用户提供的数据被JSON编码并使用以下代码连接到exec调用：

1
2
3

$deploymentData = json_encode($this->request->data,JSON_UNESCAPED_SLASHES);
$cmd = "sudo python3 ".START_DEPLOY_SCRIPT." '".$deploymentData."' > /dev/null 2>&1 &";
$cmdResult = exec($cmd);

传递形如{"loginData": "test';ping -c 5 192.168.1.1;'", "param": "1"}的参数将运行shell命令ping -c 5 192.168.1.1。

RCE链

结合Collector认证绕过和stop_ping shell注入，将导致预认证的远程代码执行。以下是利用脚本：

RealmodeLabs/SD-PWN
各种SD-WAN供应商的RCE脚本。通过在GitHub上创建账户为RealmodeLabs/SD-PWN开发做出贡献。

结束语

我们在本文中展示了Citrix SD-WAN Center中的两个认证绕过和两个shell注入漏洞。

为Citrix辩护，我们必须承认很难预料到CakePHP会以这种方式处理URL。这就是为什么对产品进行专门的安全审计如此重要。

如果您想在其他人之前了解下一个SD-PWN漏洞，请确保在LinkedIn上关注我们或通过contact@realmodelabs.com联系我们。