锐捷EG易网关guest越权,可执行任意命令,通过vpn直接渗透内网

漏洞概要

缺陷编号:WooYun-2015-0122337

漏洞标题:锐捷EG易网关guest越权,可执行任意命令,通过vpn直接渗透内网

相关厂商:ruijie.com.cn

漏洞作者:纳米翡翠

提交时间:2015-06-23 19:17

公开时间:2015-06-25 11:12

漏洞类型:命令执行

危害等级:高

自评Rank:10

漏洞状态:厂商已经修复

Tags标签:

漏洞详情

披露状态:

2015-06-23: 细节已通知厂商并且等待厂商处理中
2015-06-24: 厂商已经确认,细节仅向厂商公开
2015-06-25: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

最近看到锐捷关于rsr npe的漏洞
正好身边有人使用锐捷的产品,但是个EG网关,借过来研究了一下发现问题同样出现在锐捷的EG网关上,而且发现尽然存在任意命令执行

详细说明:

漏洞证明:

1.百度搜索:“请输入您的RG-EG易网关的用户名和密码”

2,找了一个登录抓包

发现参数很有意思command=执行的命令strurl=应该是当前的运行模式挖掘后发现有exec config等mode=priv_exec直接特权模式3.于是show run一下

注意到这里有一个webmaster level 0 1 2通过了解0的级别是最高的,也就是权限是最好的,1和2 依次减低那我是否可以直接通过执行webmaster level 0 username guest password guest来提升权限呢?试一下

把strurl改成config即可执行成功如此说来我就可以直接执行所有的命令啦,但没必要这么麻烦了。再查看show run最下面发下有telnet的密码信息

于是直接telnet进来了

然后嘛,就是配置一个vpn,直接内网漫游了

好吧,我是好孩子,配置已经还原了试了百度搜索出来的十来个链接,发现弱口令都有http://www.jincai.sh.cn:12315/index.htmhttp://jsgz.cn/http://xczp.qhrcsc.comhttp://lbszx.comhttp://www.zmjsjt.cnhttp://wcjy.zhjedu.cn/index.htmhttp://www.lflszx.comhttp://www.jyxqxx.com:88/index.htmhttp://www.lvtaotao.comhttp://oa.haotel.comhttp://www.tzcgps.cn/index.htm百度那么多没敢一个一个试话说我看到其它漏洞,厂商回复已经做了补丁,但这些还在受害的用户,明显他们还不知道该问题,那该怎么办?对了,话说最近看到锐捷发了一个新网关产品 eg350,看链接好像web是用的php的,通过挖掘已经发现部分漏洞,版本号(EG_RGOS 11.1(3)B1T3, Release(02162111)),但不知道是不是厂商的遗留版本,如果不是请告知,我会补出来,如果是那就忽略吧。

修复方案:

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-06-2409:42

厂商回复:

最新状态:

2015-06-25:设备软件版本升级到最新版本即可解决此问题。

2015-06-25:设备软件版本升级到最新版本即可解决此问题

评价

  1. 2010-01-01 00:00 动后河 白帽子 | Rank:30 漏洞数:3)

    关注中...

  2. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    如何配置VPN呢?

  3. 2010-01-01 00:00 Security 白帽子 | Rank:0 漏洞数:0)

    @scanf http://www.ruijie.com.cn/fw/wt-eg-1/

  4. 2010-01-01 00:00 纳米翡翠 白帽子 | Rank:448 漏洞数:35)

    @scanf so easy

  5. 2010-01-01 00:00 纳米翡翠 白帽子 | Rank:448 漏洞数:35)

    妈妈问我,没有责任心的厂家能做大吗?

  6. 2010-01-01 00:00 wy007 白帽子 | Rank:100 漏洞数:8)

    赞一个,感觉思路很不错!

  7. 2010-01-01 00:00 nzk1912 白帽子 | Rank:25 漏洞数:2)

    程序员思维,非产口化思维。为什么不推进用户软件升级?明知有缺陷又不招回,难道要与日本汽车同流?

  8. 2010-01-01 00:00 纳米翡翠 白帽子 | Rank:448 漏洞数:35)

    @nzk1912 所以说厂家不怎么负责任

  9. 2010-01-01 00:00 大漠長河 白帽子 | Rank:23 漏洞数:3)

    WooYun: 锐捷EG系列网关第三次绕过(系列漏洞终结版)
    我不想粗口 你们的最新版本这个问题解决了吗 不解决漏洞巡诊客户还有啥意义。
    @ruijie.com.cn

  10. 2010-01-01 00:00 大漠長河 白帽子 | Rank:23 漏洞数:3)

    WooYun: 锐捷网络NBR系列产品存在越权读取所有账号密码等问题
    解决了吗. 不修补漏洞派几个工程师到处巡检就能安抚你们受伤的客户吗。出离愤怒

  11. 2010-01-01 00:00 大漠長河 白帽子 | Rank:23 漏洞数:3)

    @纳米翡翠 这厂商水深。。。

  12. 2010-01-01 00:00 大漠長河 白帽子 | Rank:23 漏洞数:3)

    未查看 web 2015.04.27.16 重要更新:修复用户跨权限访问无权限页面漏洞
    虽然反射弧长点,但终究还是修复了。。。