当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082784

漏洞标题:锐捷EG系列网关第三次绕过(系列漏洞终结版)

相关厂商:ruijie.com.cn

漏洞作者: 路人甲

提交时间:2014-11-11 11:12

修复时间:2014-12-30 14:44

公开时间:2014-12-30 14:44

漏洞类型:权限控制绕过

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-11: 细节已通知厂商并且等待厂商处理中
2014-11-16: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-01-10: 细节向核心白帽子及相关领域专家公开
2015-01-20: 细节向普通白帽子公开
2015-01-30: 细节向实习白帽子公开
2014-12-30: 细节向公众公开

简要描述:

此漏洞非乌云WooYun-2014-82299漏洞及未审核的wooyun-2014-082472疑似异常信息。是最新版本的缺陷报告!
这份接近2000字的报告是笔者经过一个下午的思考和六个小时的反复测试得到的结果,周一又经过反复测试推翻讨论再测试,最终还是成为了报告,此报告修正了Abaddon周六提交的wooyun-2014-082472疑似异常信息报告的一处漏洞,使得报告更加有说服力,成为一份真正的信息安全通用漏洞0Day报告。
由于笔者没有闲置的EG2000设备,故只能以EG1000系列产品为样本,笔者将设备按官方提示升级到最新版本 版本号为 RGOS 10.3(4b11), 经过测试虽有改观 问题依旧,介于一天在乌云学习经历,问题反而更大了. 经测试 EG1000系列缺陷在最新版本软件下 依然可以大部分复现 只是操作复杂度变得有些复杂. 经分析:厂商回复失实,WooYun-2014-82299 ,WooYun-2014-82327 属实,既然厂商认为补丁已经解决问题,那么新版本的问题便另案处理. 至于RG-2000系列新品和其他设备是否存在类似问题,留给厂商自查自纠,给你们次学习习总群众路线的机会,希望你们此次从群众中来到群众中去,直视自己,查摆问题. 希望厂商实事求是,查摆问题,注意对三位诉求者(白帽子)回访,以大局为重解决问题而不是敷衍了事.希望给三位白帽子20 怎么也要给个18吧@@
[路人甲批注:真是一份一波三折的报告,一如既往的支持锐捷和乌云,原各方在相互磨合中共同进步。因为发现各方问题,使得我们更为完美]

详细说明:

漏洞详情(在wooyun-2014-082472基础上进行修改,剔除验证部严密的东西)
名称:锐捷网络RG-EG1000系列产品存在授权绕过缺陷
异常或问题描述:存在授权绕过读取敏感信息缺陷
涉及范围:至少波及RG-EG1000全系列产品,测试样本版本号 EG1000S RGOS 10.3(4b11)p1, Release(172818)
攻击途径:远程
攻击复杂度:低
攻击成本:低
机密性:完全地
完整性:完全地
可用性:完全得
名称:锐捷网络RG-EG1000系列产品存拒绝服务缺陷
异常或问题描述:设备审计日志失效 (拒绝服务)
涉及范围:至少波及RG-EG1000全系列产品,测试样本版本号 EG1000S RGOS 10.3(4b11)p1, Release(172818)
攻击途径:远程
攻击复杂度:低
攻击成本:低
机密性:完全地
完整性:完全地
可用性:完全得

版本号.jpg


RG-EG 授权绕过终结篇 笔者首先也复现了漏洞,看到厂商的回复 也以为最新版本可以解决问题 但是,介于YY-2012对厂商的质疑也引起了笔者对自己漏洞修复的关注,笔者从仓库里提出一个设备升级到最新版本进行漏洞复现,果然问题依旧,只不过利用难度变得更加了困难而已,但是通过一天的学习,笔者从乌云学会了漏洞挖掘和分析的方法,凭借的不只在是运气和鼠标,而不是像WooYun-2014-82299作者那样,只是神来之笔,灵感乍现. 测试目标系统版本号 RGOS 10.3(4b11)[路人甲批注:原文为RGOS 10.3(4b10)], 介于上次超威蓝猫XSS漏洞后 锐捷的确做出了很多改进,首先修补了几个漏洞,一切为群众所想,出了苹果及安智的APP,这些主动且亲民的做法都是值得肯定的,但是经查,问题依旧且出现更为严重的缺陷!! 首先一个厂商为了降低成本肯定在多个产品中使用一些可复用组件,这个无可厚非,但是一个组件出现问题可能危及全系列产品,所以希望厂商正视 这个没有杀灭的蚂蚁,千里之堤 依然在蚁穴威胁之下!!

//重新加载cache中的数据 //$('#ifdata')[0].contentWindow.location.reload(); $('#ifdata')[0].contentWindow.device = new ($('#ifdata')[0].contentWindow.Device)(); this.make(); }, pointTo : function (id) { if(!this._hasAuth(id)){ alert(Util.isZh ? '该页面不存在或当前用户无权限!':"This page does not exist or the current user without permission!"); return;


新版本作了一些修改如上 以防止疑似 YY2012的 授权绕过 而路人甲的授权绕过和YY2012的授权绕过疑似同属一个原因的不同方法论.但是问题的确依旧 首先无法在添加后门了。

改进.jpg


auth.htm页面即便用超级管理员访问也会跳转到登陆页面或抛出错误. 但是 还是有蚂蚁 千里之堤依然会毁于蚁穴 首先建立一个最小权限用户 TEST

测试用户权限.jpg


使用此权限登陆 权限小于GUEST 用户 所以更能说明问题

登录.jpg


然后来个内网影射 影射到某服务器 这样操作 在登陆后的浏览器内 输入以下命令:

HTTP://路由器有效访问地址/nat_port.htm


[路人甲批注:和ABADDON 上一个版本复现的时候一样,作为这个设备的配置者这里的冲突决不是真的冲突而是厂商做了限制,厂商值得曾赞]

nat.jpg


NAT2.jpg


虽然看不到映射表 操作也失败了 不要气馁 下面更精彩 如果来个淘气的小孩 可能做点坏事 恢复出厂设置把

恢复出厂.jpg


http://192.168.250.1/setsys_reset.htm

于是洞主所有业务和网站被拒绝服务了 呜呜
[路人甲批注:这里我们没点确定,因为复位了太麻烦,能否复位姑且扔到一边,看下面]
增强信息 这个功能比较实用贴心 看看能否非授权访问

http://52.33.74.74/setsys_strong.htm

失败 返回到登陆页面 接着琢磨
导出数据库 里面或有国家机密 甚至 导致家庭破裂的潜在威胁 哈哈

http://路由器有效地址/datedown_web.htm


[路人甲批注:这个问题处理得不彻底,不过通过Abaddon的方法已经无效,直觉告诉我还可绕过,但是这里不再赘述,因为这里还不算最核心的问题,扔到一边]
接下来我们干个真格的不绕弯子了 马上接触核心数据

代码setsys_backup.htm


[路人甲批注:这个是成立的,对于存在Guest和配置管理员弱口令的此设备 此设备防护性同虚设,另外此设备对帐户权限的管理也是形同虚设的了]

一击杀敌0.jpg

一击杀敌.jpg

一击杀敌2.jpg


其实,走到这里已经被完全渗透,一切都是浮云了
[路人甲批注: 的确是浮云 正如某位资深白帽子对一次绕过漏洞的评价]
我们在折腾折腾 修改下密码把

http://192.168.1.1:5233/setsys_passw.htm


[这里Abaddon犯了个错误,经过反复验证,这里提交的数据无效,因为Abaddon把最小权限用户密码改成了超级用户的密码,造成了种错觉,其实这里提交的数据是不生效的,厂商值得称赞,Abaddon过于武断]

修改用户名.jpg


修改用户名2.jpg


<img src="/upload/
网管协议 哈哈 核心汇聚 接入敏感信息多汇于此

http://路由器地址/snmp_server.htm

一切尽收眼底 如果银行的 的 赫赫 理论上可行 但是操作中失败 .
最后测试 重启操作

重新启动.jpg

重新启动,失败.jpg


[路人甲评注: Abadon说成功了,或许上个版本真的成功了,但是,最新版本只是表面上重启了,重启指令并为真正执行]
所有授权绕过操作系统只显示登陆,设备审计中看不到具体操作,导致管理员也无法获知自己被修改了什么..."
一次针对最新版本 RG-EG1000系列产品且配置完备仅存在一个最低权限弱口令的设备的入侵演练 !! 还说啥 经查实 此系列设备最新版本 存在通用0DAY漏洞
设备审计日志缺陷

日志验证.jpg


日志验证结果.jpg


所有操作无审计日志
[路人甲批注:能成功绕过的真没有日志....存在通用0DAY漏洞,因为泄漏了配置,什么都是浮云了]

漏洞证明:

版本号.jpg


nat.jpg


NAT2.jpg


测试用户权限.jpg


登录.jpg


恢复出厂.jpg


修改用户名.jpg


修改用户名2.jpg


重新启动.jpg

重新启动,失败.jpg


一击杀敌0.jpg

一击杀敌.jpg

一击杀敌2.jpg

日志验证.jpg


日志验证结果.jpg

修复方案:

增强用户验证

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-30 14:44

厂商回复:

最新状态:

暂无