欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用

admin2020-09-0636资讯

近日,Unit 42研究人员发现了vBulletin预认证远程代码执行漏洞CVE-2020-17496的在野利用。该漏洞利用是对CVE-2019-16759 漏洞补丁的绕过。由于有超过10万个基于vBulletin的网站,其中包括大企业和组织的论坛,研究人员建议用户尽快修复。

CVE-2020-17496漏洞根源分析

模板渲染是vBulletin中的一个功能,可以将XML模板转化为PHP代码并执行。从5.0版本开始,vBulletin 开始接受Ajax的模板渲染请求。渲染是在函数staticRenderAjax 中执行的。如图1所示,函数的参数值来源于$_REQUESTS,$_GET 和 $_POST。因为这些参数中的模板名和相关的配置都是用户可以控制的,因此可能会引发CVE-2019-16759漏洞。

函数staticRenderAjax中的值和参数来源于$_REQUESTS、$_GET 和 $_POST,如下图中红色箭头所示:

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第1张图1. vBulletin < 5.5.5中的callRender()

攻击者在操作参数widgetConfig[‘code’]中含有模板名widget_php和恶意代码的Ajax请求时,渲染引擎就会将图2中的XML模板widget_php 转化为PHP 代码中的字符串,然后由eval 函数执行代码。因为生成的代码中有有一行vB5_Template_Runtime::evalPhp(” . $widgetConfig[‘code’],因此请求中的恶意代码就会执行。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第2张

图2. 模板“widget_php”

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第3张

图3. 从XML模板转化成的PHP代码

从v5.5.5版本开始,引入了函数callRender()(如图4所示)来修复CVE-2019-16759漏洞。该函数引入了黑名单机制来检查模板名。如果名字是widget_php,模板就不会渲染请求的模板。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第4张

图4. vBulletin ≥ 5.5.5版本的callRender()

另一个补丁是evalPhp 函数会检查当前模板名。通过补丁,widget_php是唯一可以用来执行PHP代码的模板,如图5所示。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第5张

图5. 只有模板是widget_php时,evalPhp() 才执行代码

该补丁使得widget_php是唯一可以用于PHP代码执行的模板,同时还限制了对该模板的访问。但在最新的绕过中,研究人员发现还有一个模板可以用于加载该模板,即widget_tabbedcontainer_tab_panel 。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第6张

图6. 模板widget_tabbedcontainer_tab_panel

模板 widget_tabbedcontainer_tab_panel 如图6所示,是一个用来渲染多个子模板的模板。渲染该模板本身并不会直接导致远程代码执行。但模板渲染会引发其他子模板的渲染。

下面的代码是从XML widget_tabbedcontainer_tab_panel 模板渲染的PHP代码。之后,代码会被生成和执行。

[code]
$final_rendered = ” . ”;
$panel_id = ” . vB5_Template_Runtime::vBVar($id_prefix).vB5_Template_Runtime::vBVar($tab_num) . ”;
$final_rendered .= ” . ” . ” . ‘ ‘ . ”;
if (isset($subWidgets) AND (is_array($subWidgets) OR $subWidgets instanceof ArrayAccess))
{
foreach ($subWidgets AS $subWidget)
{
$final_rendered .= ‘ ‘ . vB5_Template_Runtime::includeTemplate($subWidget[‘template’],array(‘widgetConfig’ => $subWidget[‘config’], ‘widgetinstanceid’ => $subWidget[‘widgetinstanceid’], ‘widgettitle’ => $subWidget[‘title’], ‘tabbedContainerSubModules’ => $subWidget[‘tabbedContainerSubModules’], ‘product’ => $subWidget[‘product’])) . ‘ ‘;
}
}$final_rendered .= ” . ‘’;
[/code]

在PHP代码中,可以看出渲染引擎会遍历subWidget和$subWidgets中的配置,并生成一新的模板对象,然后渲染会生成其PHP 代码。此时,如果字符串widget_php被分配给变量subWidget,恶意代码就会放置在$widgetConfig[‘code’] 中,恶意代码就会像CVE-2019-16759漏洞一样执行。

PoC

基于以上分析,研究人员构造了一个漏洞利用代码来证明该功能。函数callRender的调用需要POST HTTP方法,如图7所示。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第7张 图7. 调用callRender()

图8 是含有phpinfo()运行结果的被黑页面,图9和图10是有类型效果的被操作的请求。在URL中,子模板名widget_php和恶意代码phpinfo();exit(); 都是数组subWidget 的第一个元素。当后端处理该URL 时,恶意代码就会执行。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第8张

图8. 漏洞利用复现1

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第9张图9. 漏洞利用复现2

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第10张

图10. 漏洞利用复现3

CVE-2020-17496漏洞在野利用

研究人员在8月10日首次发现了该漏洞的在野漏洞,之后发现了来自不同IP 地址的利用。

扫描活动

研究人员根据捕获的恶意流量分析发现,有多个源IP 在进行扫描。扫描的目的是尝试找出有漏洞的站点并收集相关的信息,如图11-15所示。这些payload会尝试执行系统命令echo and id,攻击者根据响应可以判断目标是否受该漏洞的影响。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第11张图11. 在野漏洞利用 – 1CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第12张

图12. 在野漏洞利用 – 2

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第13张图13. 在野漏洞利用 – 3

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第14张 图14. 在野漏洞利用  – 4

敏感文件读取

也有攻击者尝试利用该漏洞来读取服务器端的文件。Payload中含有PHP 函数shell_exec() 来执行任意系统命令,用系统命令 cat ../../../../../../../../../../etc/passwd 来读取/etc/passwd 的内容。流量如图15所示。一旦攻击成功,来自目标的敏感信息就会泄露。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第15张

图15. 在野漏洞利用– 5

Web Shell

也有攻击者利用该漏洞来安装web shell。如图16所示,漏洞利用尝试用PHP函数file_put_content()将基于PHP 的web shell。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第16张图16. 在野漏洞利用  – 6

如图17所示,漏洞利用尝试下载一个PHP 脚本到受害者服务器。Web shell 的代码如下所示。代码是一个上传页面,攻击者可以上传任意文件并执行随后的攻击活动。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第17张 图17. 在野漏洞利用– 7

如图18所示,漏洞利用尝试写入一个base64 编码的PHP 代码到web host目录中。新页面会引发任意文件上传,然后攻击者可以执行随后的攻击步骤。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第18张

图18. 在野漏洞利用  – 8

下载Shellbot

也有攻击者利用该漏洞来下载基于Perl的脚本恶意软件Shellbot,用PHP 函数 shell_exec()来执行系统命令wget,从http://178[.]170[.]117[.]50/bot1下载并运行恶意软件,payload如图19所示:

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第19张

图19. 在野漏洞利用– 9

脚本执行后,就连接到基于IRC的C2 服务器,地址为66[.]7[.]149[.]161:6667,加入IRC信道,afk ,然后保持回复服务器的ping,流量如图20所示。一旦从聊天信道中接收到命令,就可以执行相关的端口扫描代码、下载文件、执行系统命令、开始洪泛攻击等。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第20张

图20. ShellBot脚本执行期间的流量

下载Sora

另外一个漏洞利用是从攻击者的服务器下载Mirai变种——Sora。但是由于使用的错误的HTTP 方法,因此该payload是无效的。

CVE-2020-17496 vBulletin Pre-Auth RCE漏洞在野利用  资讯 第21张

图21. 在野漏洞利用– 10

根据对样本的分析,研究人员漏洞利用在传播过程中融合了CVE-2020-5902、CVE-2020-1937、CVE-2020-10173、CVE-2020-10987、Netgear R700 RCE、Netlink GPON Router 1.0.11 RCE 和 CVE-2020-17496漏洞利用等多个漏洞。

总结

目前已经有多个针对vBulletin预认证远程代码执行漏洞CVE-2020-17496 的在野利用攻击。由于vBulletin 的普及以及用户基数,使得其成为攻击者的主要目标。vBulletin已于2020年8月10日发布了漏洞补丁,研究人员建议相关用户尽快更新补丁。

本文翻译自:https://unit42.paloaltonetworks.com/cve-2020-17496/:
WPA 企业模式的安全性和部署

WPA背景 WPA当前分为WPA,WPA2和最近发布的WPA3 3个版本,最初的WPA协议实现了IEEE 802.11i标准草案,并且由于有线等效保密(WEP)协议中的安全缺陷而引入了WPA协议。后续的WPA2协议实现了最终IEEE 802.11i标准的所有强制性要求,从而增加了该协议的整体安全性。 下表概述了两种协议之间的主要安全区别: WPA安全模式 处理对WPA网络的身份验证时,可以使用以下两种安全模式: 个人:此模式使用预共享密钥(PSK),类似于用于验证网络客户端的密码,所有客户端都使用相同的PSK连接到网络。 企业:此模式使用远程身份验证拨入用户服务(RADIUS)服务器来处理对网络的身份验证,这允许每个用户拥有单独的凭据。 企业模式安全性的好处 企业模式安全性中使用的关键协议RADIUS是集中管理的AAA协议(身份验证、授权、网络凭据收集)。这

网友评论