银峰 & 思科 & Citrix & VMware | SD-WAN安全漏洞通告
发布时间 2020-12-020x00 漏洞概述
近日,Realmode Labs的研究人员发现了市场上排名前四的SD-WAN的产品中存在多个安全漏洞,其厂商分别为银峰、思科、Citrix和VMware。在此次发现的漏洞中,有多个可造成远程代码执行,且无需任何身份验证即可利用。攻击者可以利用这些漏洞来拦截或恶意引导流量,甚至可导致网络中断。
0x01 漏洞详情
产品名称 | CVE ID | 类 型 | 漏洞等级 | 远程利用 |
银峰SD-WAN | CVE-2020-12145 | 身份验证绕过 | 严重 | 是 |
CVE-2020-12146 | 路径遍历 | 高危 | 是 | |
CVE-2020-12147 | 任意SQL查询 | 高危 | 是 | |
Citrix SD-WAN | CVE-2020-8271 | 路径遍历、Shell注入 | 严重 | 是 |
CVE-2020-8272 | 身份验证绕过 | 高危 | 是 | |
CVE-2020-8273 | Shell注入 | 高危 | 是 | |
思科Viptela vManage
| CVE-2020-27128 | SSRF、任意文件写入 | 中危 | 是 |
CVE-2020-27129 | 命令注入 | 中危 | 是 | |
CVE-2020-26073 | 文件读取、目录遍历 | 高危 | 是 | |
CVE-2020-26074 | 权限提升 | 高危 | 否 | |
VMware VeloCloud Orchestrator | CVE-2020-4001 | 身份验证绕过 | 中危 | 是 |
CVE-2020-3984 | SQL注入 | 高危 | 是 | |
CVE-2020-4000 | 目录遍历、代码执行 | 中危 | 是 |
银峰的SD-WAN中存在三个安全漏洞,分别为CVE-2020-12145、CVE-2020-12146和CVE-2020-12147,这些漏洞位于Orchestrator主管理界面,可集中控制公司的SD-WAN拓扑。攻击者可配合利用这三个漏洞来对SD-PWN网络进行攻击。
Citrix SD-WAN以CakePHP2为框架在Apache上运行。由于CakePHP2框架在处理URL时存在问题,Citrix SD-WAN中心存在三个安全漏洞,分别为CVE-2020-8271、CVE-2020-8272和CVE-2020-8273,成功利用漏洞的攻击者可注入shell命令,最终控制整个网络。
思科Viptela vManage是思科SD-WAN基础架构的中心,可管理网络中所有终端。由于SD-WAN设计的集中性,从安全角度来看,vManage上的多个漏洞属于单点故障。
通过利用CVE-2020-27128、CVE-2020-27129、CVE-2020-26073和CVE-2020-26074,攻击者能够远程执行代码来获得vManage的控制权,而该终端通常托管在云环境中。攻击者不需要任何配置即可利用这些漏洞。
VMware VeloCloud Orchestrator是连接到边缘路由器并集中控制的网络拓扑。VMware VeloCloud基础架构由nginx组成,其主要用作node.js服务器的反向代理,由于其接口存在安全漏洞,分别为CVE-2020-4001、CVE-2020-3984和CVE-2020-4000。攻击者可以利用这些漏洞修改Velocloud登录名或重置密码。
部分漏洞详情如下:
银峰SD-WAN身份验证绕过漏洞(CVE-2020-12145)
由于对未执行身份验证的本地主机的API调用的特殊处理存在安全问题,任何以“localhost”作为其HTTP Host标头的请求都满足检查要求,这容易导致身份验证绕过。可使用request.getBaseUri().getHost().equals(“localhost”)命令进行localhost检查。
Citrix SD-WAN路径遍历和shell注入漏洞(CVE-2020-8271)
由于/collector/diagnostics/stop_ping端点读取"/tmp/pid_" . $req_id文件,并在shell_exec调用中使用其内容,而没有对允许路径遍历的$req_id进行清理。攻击者可以将恶意文件上传到任何地方并执行任意shell命令。
0x02 处置建议
目前相关厂商已经发布更新,建议参考官方的建议及时更新。
0x03 参考链接
https://www.securityweek.com/sd-wan-product-vulnerabilities-allow-hackers-steer-traffic-shut-down-networks
https://medium.com/realmodelabs/sd-pwn-part-4-vmware-velocloud-the-last-takeover-a7016f9a9175
https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&offset=20#~Vulnerabilities
https://www.vmware.com/security/advisories/VMSA-2020-0025.html
0x04 时间线
2020-12-01 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/