近日,Unit 42研究人员发现了vBulletin预认证远程代码执行漏洞CVE-2020-17496的在野利用。该漏洞利用是对CVE-2019-16759 漏洞补丁的绕过。由于有超过10万个基于vBulletin的网站,其中包括大企业和组织的论坛,研究人员建议用户尽快修复。
CVE-2020-17496漏洞根源分析
模板渲染是vBulletin中的一个功能,可以将XML模板转化为PHP代码并执行。从5.0版本开始,vBulletin 开始接受Ajax的模板渲染请求。渲染是在函数staticRenderAjax 中执行的。如图1所示,函数的参数值来源于$_REQUESTS,$_GET 和 $_POST。因为这些参数中的模板名和相关的配置都是用户可以控制的,因此可能会引发CVE-2019-16759漏洞。
函数staticRenderAjax中的值和参数来源于$_REQUESTS、$_GET 和 $_POST,如下图中红色箭头所示:
图1. vBulletin < 5.5.5中的callRender()
攻击者在操作参数widgetConfig[‘code’]中含有模板名widget_php和恶意代码的Ajax请求时,渲染引擎就会将图2中的XML模板widget_php 转化为PHP 代码中的字符串,然后由eval 函数执行代码。因为生成的代码中有有一行vB5_Template_Runtime::evalPhp(” . $widgetConfig[‘code’],因此请求中的恶意代码就会执行。
图2. 模板“widget_php”
图3. 从XML模板转化成的PHP代码
从v5.5.5版本开始,引入了函数callRender()(如图4所示)来修复CVE-2019-16759漏洞。该函数引入了黑名单机制来检查模板名。如果名字是widget_php,模板就不会渲染请求的模板。
图4. vBulletin ≥ 5.5.5版本的callRender()
另一个补丁是evalPhp 函数会检查当前模板名。通过补丁,widget_php是唯一可以用来执行PHP代码的模板,如图5所示。
图5. 只有模板是widget_php时,evalPhp() 才执行代码
该补丁使得widget_php是唯一可以用于PHP代码执行的模板,同时还限制了对该模板的访问。但在最新的绕过中,研究人员发现还有一个模板可以用于加载该模板,即widget_tabbedcontainer_tab_panel 。
图6. 模板widget_tabbedcontainer_tab_panel
模板 widget_tabbedcontainer_tab_panel 如图6所示,是一个用来渲染多个子模板的模板。渲染该模板本身并不会直接导致远程代码执行。但模板渲染会引发其他子模板的渲染。
下面的代码是从XML widget_tabbedcontainer_tab_panel 模板渲染的PHP代码。之后,代码会被生成和执行。
[code] $final_rendered = ” . ”; $panel_id = ” . vB5_Template_Runtime::vBVar($id_prefix).vB5_Template_Runtime::vBVar($tab_num) . ”; $final_rendered .= ” . ” . ” . ‘ ‘ . ”; if (isset($subWidgets) AND (is_array($subWidgets) OR $subWidgets instanceof ArrayAccess)) { foreach ($subWidgets AS $subWidget) { $final_rendered .= ‘ ‘ . vB5_Template_Runtime::includeTemplate($subWidget[‘template’],array(‘widgetConfig’ => $subWidget[‘config’], ‘widgetinstanceid’ => $subWidget[‘widgetinstanceid’], ‘widgettitle’ => $subWidget[‘title’], ‘tabbedContainerSubModules’ => $subWidget[‘tabbedContainerSubModules’], ‘product’ => $subWidget[‘product’])) . ‘ ‘; } }$final_rendered .= ” . ‘’; [/code]
在PHP代码中,可以看出渲染引擎会遍历subWidget和$subWidgets中的配置,并生成一新的模板对象,然后渲染会生成其PHP 代码。此时,如果字符串widget_php被分配给变量subWidget,恶意代码就会放置在$widgetConfig[‘code’] 中,恶意代码就会像CVE-2019-16759漏洞一样执行。
PoC
基于以上分析,研究人员构造了一个漏洞利用代码来证明该功能。函数callRender的调用需要POST HTTP方法,如图7所示。
图7. 调用callRender()
图8 是含有phpinfo()运行结果的被黑页面,图9和图10是有类型效果的被操作的请求。在URL中,子模板名widget_php和恶意代码phpinfo();exit(); 都是数组subWidget 的第一个元素。当后端处理该URL 时,恶意代码就会执行。
图8. 漏洞利用复现1
图9. 漏洞利用复现2
图10. 漏洞利用复现3
CVE-2020-17496漏洞在野利用
研究人员在8月10日首次发现了该漏洞的在野漏洞,之后发现了来自不同IP 地址的利用。
扫描活动
研究人员根据捕获的恶意流量分析发现,有多个源IP 在进行扫描。扫描的目的是尝试找出有漏洞的站点并收集相关的信息,如图11-15所示。这些payload会尝试执行系统命令echo and id,攻击者根据响应可以判断目标是否受该漏洞的影响。
图11. 在野漏洞利用 – 1
图12. 在野漏洞利用 – 2
图13. 在野漏洞利用 – 3
图14. 在野漏洞利用 – 4
敏感文件读取
也有攻击者尝试利用该漏洞来读取服务器端的文件。Payload中含有PHP 函数shell_exec() 来执行任意系统命令,用系统命令 cat ../../../../../../../../../../etc/passwd 来读取/etc/passwd 的内容。流量如图15所示。一旦攻击成功,来自目标的敏感信息就会泄露。
图15. 在野漏洞利用– 5
Web Shell
也有攻击者利用该漏洞来安装web shell。如图16所示,漏洞利用尝试用PHP函数file_put_content()将基于PHP 的web shell。
图16. 在野漏洞利用 – 6
如图17所示,漏洞利用尝试下载一个PHP 脚本到受害者服务器。Web shell 的代码如下所示。代码是一个上传页面,攻击者可以上传任意文件并执行随后的攻击活动。
图17. 在野漏洞利用– 7
如图18所示,漏洞利用尝试写入一个base64 编码的PHP 代码到web host目录中。新页面会引发任意文件上传,然后攻击者可以执行随后的攻击步骤。
图18. 在野漏洞利用 – 8
下载Shellbot
也有攻击者利用该漏洞来下载基于Perl的脚本恶意软件Shellbot,用PHP 函数 shell_exec()来执行系统命令wget,从http://178[.]170[.]117[.]50/bot1下载并运行恶意软件,payload如图19所示:
图19. 在野漏洞利用– 9
脚本执行后,就连接到基于IRC的C2 服务器,地址为66[.]7[.]149[.]161:6667,加入IRC信道#afk ,然后保持回复服务器的ping,流量如图20所示。一旦从聊天信道中接收到命令,就可以执行相关的端口扫描代码、下载文件、执行系统命令、开始洪泛攻击等。
图20. ShellBot脚本执行期间的流量
下载Sora
另外一个漏洞利用是从攻击者的服务器下载Mirai变种——Sora。但是由于使用的错误的HTTP 方法,因此该payload是无效的。
图21. 在野漏洞利用– 10
根据对样本的分析,研究人员漏洞利用在传播过程中融合了CVE-2020-5902、CVE-2020-1937、CVE-2020-10173、CVE-2020-10987、Netgear R700 RCE、Netlink GPON Router 1.0.11 RCE 和 CVE-2020-17496漏洞利用等多个漏洞。
总结
目前已经有多个针对vBulletin预认证远程代码执行漏洞CVE-2020-17496 的在野利用攻击。由于vBulletin 的普及以及用户基数,使得其成为攻击者的主要目标。vBulletin已于2020年8月10日发布了漏洞补丁,研究人员建议相关用户尽快更新补丁。
本文翻译自:https://unit42.paloaltonetworks.com/cve-2020-17496/如若转载,请注明原文地址: