【PConline 资讯】近日,360企业安全集团代码卫士团队安全研究人员发现了思科公司网络设备的多个高危安全漏洞(CVE-2018-0423、CVE-2018-0424、CVE-2018-0425、CVE-2018-0426),并第一时间向思科公司报告,协助其修复漏洞。
2018年9月5日,思科公司发布了4个安全公告,公开致谢360企业安全集团代码卫士团队,并且发布相应的补丁固件版本修复漏洞。
思科公司官方公告
致谢360代码卫士
本次思科公司修复的漏洞中,CVE-2018-0423是一个缓冲区溢出漏洞,CVSS评分为9.8分,本文将针对该漏洞进行技术分析。
0x00 CVE-2018-0423概述
该漏洞是一个未授权的缓冲区溢出漏洞,影响Cisco RV110W Wireless-N VPN Firewall、RV130W Wireless-N Multifunction VPN Router、RV215W Wireless-N VPN Router等型号。漏洞出现在访客模式的强制门户网站上,不需要进行任何的身份认证,任何用户均可访问,当一个已登陆的访客,主动退出时将触发一个POST请求,其URL为:https://[target_ip]/ guest_logout.cgi,其中POST数据的cip参数未进行合理的IP地址校验,并且可被绕过,导致精心构造的cip参数可以触发缓冲区溢出漏洞,甚至直接获得设备的root shell,此漏洞最终的CVSS评分为9.8,具体可以参见思科(Cisco)发布的安全公告,如下所示:
CVE-2018-0423安全公告
0x01技术分析
通过逆向分析固件文件系统中的httpd应用,并修复其中的符号表后,可以定位到在处理guest_logout.cgi时,将调用sub_ 2B320函数,而后进入sub_2AFB0函数,sub_2AFB0函数主要获取POST请求中的cmac、cip和submit_button的值,并对cmac和cip分别进行MAC地址和IP地址的合法性检验,如果MAC地址和IP地址都验证成功,则返回1,将进入包含漏洞函数get_client_vlan_id的分支(具体的漏洞函数get_client_vlan_id将在后文进行说明),其中sub_2AFB0函数的部分伪代码如下:
sub_2AFB0函数部分伪代码
从业务逻辑处理上看,这样处理是没有任何问题的,因为cmac和cip是用户可控的参数,必然需要先进行合法性校验的,当然由于我们知道触发漏洞的函数在get_client_vlan_id上,此函数将用户可控的cip作为参数,因此这里着重分析VERIFY_IPv4函数对cip的校验流程,1)首先利用sscanf()判断是否存在合法的点分十进制IP地址;2)再利用inet_aton()判断是否可以将点分十进制IP地址串转换成网络序的IP地址。其关键的部分伪代码如下所示:
VERIFY_IPv4()函数部分伪代码
VERIFY_IPv4函数从cip提取"%d.%d.%d.%d"形式的IP地址,这很容易满足,只需要cip包含合法的点分十进制形式的IP地址即可,如192.168.1.100。
随后关键分析inet_aton函数对字符串IP地址的处理,如果处理成功则返回1,这里要实现触发缓冲区溢出漏洞就必须让inet_aton处理成功,返回1,通过逆向分析发现,假设合法的IP地址后增加了一个字符,如:192.168.1.100X,那么程序会判断这个X是否为\x00,是否是ascii码,并且是否为空白字符,如果不为\x00,并且是ascii码,但又不是空白字符,那么就会返回0,这样就表示inet_aton函数处理失败,但是如果X不为\x00,并且是ascii码,又是空白字符,那就会绕过空白字符之后的字符校验,并且能成功返回1,这样就表示inet_aton函数处理成功,其部分伪代码如下:
inet_aton()函数部分伪代码
因此,恶意用户就可通过:点分十进制IP地址 + 一个空白字符 + 任意字符长度的数据内容的形式来实现绕过VERIFY_IPv4函数的校验,而空白字符可以是空格、制表符等,这里可以直接使用空格即可实现绕过。
而后程序将用户可控的cip值当作参数传递给使用危险函数的get_client_vlan_id函数,此函数未对cip做任何过滤或处理,直接利用strcpy函数将其拷贝至大小固定的栈空间上,通过逆向分析可知其中0x84-0x88存放着返回地址->LR的值,因此一旦cip的长度超过0x84将直接覆盖返回地址,导致缓冲区溢出的发生,其部分汇编代码如下:
get_client_vlan_id()函数部分汇编代码
0x02 参考链接
1.https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-rv-routers-overflow(官方公告:CVE-2018-0423)
2.https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-rv-routers-injection(官方公告:CVE-2018-0424)
3.https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-rv-routers-disclosure(官方公告:CVE-2018-0425)
4.https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-rv-routers-traversal(官方公告:CVE-2018-0426)
向日葵 C2 计电量版 智能插座 黑色
¥44
¥49
GoPro HERO12 Black 运动相机 标准套装
RAZER 雷蛇 天狼星 幻彩版 2.0声道 桌面 多媒体音箱 黑色
HONOR 荣耀 平板MagicPad 13英寸 8扬声器 144Hz高刷护眼 2.8K超清 移动办公影音娱乐平板 WIFI 512GB 月色
Anker 安克 A2674 67W 三口氮化镓充电器
Beelink 零刻 SER5 Pro mini电脑主机(R7-5800H、准系统)
acer 宏碁 掠夺者.擎 Neo 十三代酷睿版 16.0英寸 游戏本 黑色酷睿i5-13500HX
ThundeRobot 雷神 黑武士LQ27F180 27英寸IPS显示器(2560*1440、180Hz、99%sRGB)
AKOS 阿考斯 BC98 三模热插拔 无线机械键盘(AKOS轴、PBT、RGB背光)
网友评论