银峰 & 思科 & Citrix & VMware | SD-WAN安全漏洞通告

发布时间 2020-12-02

0x00 漏洞概述

近日,Realmode Labs的研究人员发现了市场上排名前四的SD-WAN的产品中存在多个安全漏洞,其厂商分别为银峰、思科、Citrix和VMware。在此次发现的漏洞中,有多个可造成远程代码执行,且无需任何身份验证即可利用。攻击者可以利用这些漏洞来拦截或恶意引导流量,甚至可导致网络中断。

 

0x01 漏洞详情

image.png

                                                        

产品名称

CVE   ID

类   型

漏洞等级

远程利用

银峰SD-WAN

CVE-2020-12145

身份验证绕过

严重

CVE-2020-12146

路径遍历

高危

CVE-2020-12147

任意SQL查询

高危

Citrix SD-WAN

CVE-2020-8271

路径遍历、Shell注入

严重

CVE-2020-8272

身份验证绕过

高危

CVE-2020-8273

Shell注入

高危

思科Viptela vManage

 

 

CVE-2020-27128

SSRF、任意文件写入

中危

CVE-2020-27129

命令注入

中危

CVE-2020-26073

文件读取、目录遍历

高危

CVE-2020-26074

权限提升

高危

VMware VeloCloud Orchestrator

CVE-2020-4001

身份验证绕过

中危

CVE-2020-3984

SQL注入

高危

CVE-2020-4000

目录遍历、代码执行

中危

 

银峰的SD-WAN中存在三个安全漏洞,分别为CVE-2020-12145、CVE-2020-12146和CVE-2020-12147,这些漏洞位于Orchestrator主管理界面,可集中控制公司的SD-WAN拓扑。攻击者可配合利用这三个漏洞来对SD-PWN网络进行攻击。

Citrix SD-WAN以CakePHP2为框架在Apache上运行。由于CakePHP2框架在处理URL时存在问题,Citrix SD-WAN中心存在三个安全漏洞,分别为CVE-2020-8271、CVE-2020-8272和CVE-2020-8273,成功利用漏洞的攻击者可注入shell命令,最终控制整个网络。

思科Viptela vManage是思科SD-WAN基础架构的中心,可管理网络中所有终端。由于SD-WAN设计的集中性,从安全角度来看,vManage上的多个漏洞属于单点故障。

通过利用CVE-2020-27128、CVE-2020-27129、CVE-2020-26073和CVE-2020-26074,攻击者能够远程执行代码来获得vManage的控制权,而该终端通常托管在云环境中。攻击者不需要任何配置即可利用这些漏洞。

VMware VeloCloud Orchestrator是连接到边缘路由器并集中控制的网络拓扑。VMware VeloCloud基础架构由nginx组成,其主要用作node.js服务器的反向代理,由于其接口存在安全漏洞,分别为CVE-2020-4001、CVE-2020-3984和CVE-2020-4000。攻击者可以利用这些漏洞修改Velocloud登录名或重置密码。

 

部分漏洞详情如下:

银峰SD-WAN身份验证绕过漏洞(CVE-2020-12145)

由于对未执行身份验证的本地主机的API调用的特殊处理存在安全问题,任何以“localhost”作为其HTTP Host标头的请求都满足检查要求,这容易导致身份验证绕过。可使用request.getBaseUri().getHost().equals(“localhost”)命令进行localhost检查。


Citrix SD-WAN路径遍历和shell注入漏洞(CVE-2020-8271)

由于/collector/diagnostics/stop_ping端点读取"/tmp/pid_" . $req_id文件,并在shell_exec调用中使用其内容,而没有对允许路径遍历的$req_id进行清理。攻击者可以将恶意文件上传到任何地方并执行任意shell命令。

 

0x02 处置建议

目前相关厂商已经发布更新,建议参考官方的建议及时更新。

 

0x03 参考链接

https://www.securityweek.com/sd-wan-product-vulnerabilities-allow-hackers-steer-traffic-shut-down-networks

https://medium.com/realmodelabs/sd-pwn-part-4-vmware-velocloud-the-last-takeover-a7016f9a9175

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&offset=20#~Vulnerabilities

https://www.vmware.com/security/advisories/VMSA-2020-0025.html

 

0x04 时间线

2020-12-01  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/



image.png