锐捷NPE出口网关任意操作的命令执行

漏洞概要

缺陷编号:WooYun-2015-0123851

漏洞标题:锐捷NPE出口网关任意操作的命令执行

相关厂商:ruijie.com.cn

漏洞作者:路人甲

提交时间:2015-07-01 10:39

公开时间:2015-09-29 17:52

漏洞类型:非授权访问

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-01: 细节已通知厂商并且等待厂商处理中
2015-07-01: 厂商已经确认,细节仅向厂商公开
2015-07-04: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-08-25: 细节向核心白帽子及相关领域专家公开
2015-09-04: 细节向普通白帽子公开
2015-09-14: 细节向实习白帽子公开
2015-09-29: 细节向公众公开

简要描述:

锐捷NPE出口网关任意操作的命令执行

详细说明:

厂商:锐捷网络产品名称:NPE网络出口引擎官网:http://**.**.**.**/关键字:title:锐捷网络 --NPE网络出口引擎--登录界面

列举了部分:**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**:8888/index.htm**.**.**.**:8080/index.htm**.**.**.**:8080/index.htm**.**.**.**/index.htm**.**.**.**/index.htm**.**.**.**:9090/index.htm系统自身存在的用户有:admin、manager、guest。guest的默认账号是guest,一个正常的guest用户登陆后的cookie是这样的:Cookie: auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; c_name=; hardtype=NPE60E; web-coding=gb2312; currentURL=1.1之前出现越权登陆之后,锐捷将guest的账户页面仅可查看当前状态,前台是无法进行任何操作的。但是问题是,前台的可视化显示是通过直接调用命令进行展示,调用命令的时候,是没有进行任何的权限认证的,从而导致了任意代码执行。这里以**.**.**.**/index.htm为例:

前台会调用各种系统命令,如端口状态、CPU状态等等这里以其中的一条后台请求为例:

其中command可控,直接执行各种敏感命令均可!如查看版本信息:

配置信息:

控制台用户密码:

当然也可以重启、恢复出厂默认、更改各项配置等等。不仅如此,还可以获取系统任意信息及文件。如:获取系统文件:

漏洞证明:

如上!

修复方案:

如上!

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-07-0117:50

厂商回复:

修复方案:
设备软件版本升级到最新版即可

最新状态:

2015-07-02:已经在官网,提供解决漏洞的新版本供下载。
并且每次发布新版本后,设备上的web都会有一次提示更新,请根据提示升级。

评价

  1. 2010-01-01 00:00 prolog 白帽子 | Rank:518 漏洞数:59)

    又是1 rank 呵呵

  2. 2010-01-01 00:00 abcdlzy 白帽子 | Rank:72 漏洞数:12)

    @prolog 估计是WEBCLI

  3. 2010-01-01 00:00 草原飞歌 白帽子 | Rank:0 漏洞数:0)

    有人替楼主补了一刀,CNVD-2015-0497,不知道刀口是一处不。
    感觉锐捷这个在坎坷中前行的民族品牌没设软件测试部门,我知道楼主是谁了哈哈

  4. 2010-01-01 00:00 草原飞歌 白帽子 | Rank:0 漏洞数:0)

    希望此洞是锐捷网关产品今年最后一洞

  5. 2010-01-01 00:00 心云 白帽子 | Rank:64 漏洞数:7)

    1 rank..........