Silver Peak SD-WAN 漏洞允许网络接管

可以链接三个安全漏洞以启用未经身份验证的远程代码执行。

Silver peak的Unity Orchestrator是一个软件定义的WAN（SD-WAN）管理平台，它遭受三个远程代码执行安全性漏洞的困扰，这些漏洞可以链接在一起以允许未经身份验证的攻击者接管网络。

SD-WAN是各种规模的企业和多地点企业使用的基于云的联网方法。它允许位置和云实例通过任何类型的连接相互连接并与公司资源连接。并且，它将软件控制应用于该过程的管理，包括资源和节点的编排。这种编排通常是通过单视图平台进行集中的-在这种情况下，就是Unity Orchestrator，Silver Peak表示该编排大约有2,000个部署。

根据Realmode Labs的研究人员所说，这三个漏洞是身份验证绕过，文件删除路径遍历和任意SQL查询执行，可以将它们组合在一起以执行任意代码。

该公司指出，攻击者将首先绕过身份验证登录平台，然后寻找Web服务器正在运行的文件。然后，他们可以使用文件删除路径遍历问题将其删除，并使用SQL查询执行将其替换为他们选择的一种。然后，所需要做的就是执行文件以运行他们想要的任何代码或恶意软件。

“在最佳情况下，攻击者可以利用这些漏洞来拦截或引导流量，” Realmode的联合创始人兼首席执行官Ariel Tempelhof在本周的Medium中表示。“但是，如果攻击者愿意，他们可以关闭公司的整个国际网络。”

漏洞详情

在8.9.11 +，8.10.11 +或9.0.1+之前的Silver Peak Unity Orchestrator版本中存在这些问题。Silver Peak说，由客户托管的Orchestrator实例（本地或在公共云提供商中）会受到影响。可用补丁。

就技术细节而言，Unity处理API调用的方式中存在身份验证绕过（CVE-2020–12145）。

根据Silver Peak的安全公告，“ [受影响的平台使用] HTTP标头来验证来自本地主机的REST API调用。” “通过引入设置为127.0.0.1或本地主机的HTTP HOST标头，可以登录Orchestrator。

根据Tempelhof的说法，从本质上讲，这意味着从本地主机发出的调用不会执行有意义的身份验证。

他解释说：“正在执行本地主机检查（像这样）：request.getBaseUri（）。getHost（）。equals（“ localhost”）。” “任何以’localhost’作为其HTTP Host标头的请求都将满足此检查。当然，这可以很容易地在远程请求中伪造。”

同时，存在路径遍历问题（CVE-2020–12146），因为删除本地托管的文件时，不会进行路径遍历检查。

根据Silver Peak的说法：“经过身份验证的用户可以使用/ debugFiles REST API访问，修改和删除Orchestrator服务器上的受限文件。”

Tempelhof阐述道：“由于认证旁路，现在可以访问某些API端点，从而能够将调试日志上传到S3存储桶，以供Silver Peak检查。此机制准备日志，将其上传，然后删除本地托管的文件。/ gms / rest / debugFiles / delete端点执行删除操作不会检查路径的遍历，从而可以删除系统上的任何文件（如果允许的话）。”

根据Silver Peak的说法，最后一个问题是SQL查询执行错误（CVE-2020–12147），允许经过身份验证的用户使用/ sqlExecution REST API对Orchestrator数据库进行未经授权的MySQL查询。由于内部测试使用了特殊的API端点，因此可以进行这些任意的SQL查询。

Tempelhof解释说：“通过利用INTO DUMPFILE子句，可以将/ gms / rest / sqlExecution端点用于任意文件写入，” Tempelhof解释说，并补充说，尽管INTO DUMPFILE不允许直接覆盖文件，但攻击者可以使用路径遍历错误来首先删除文件，然后将其重写。

Realmode于8月9日报告了该漏洞，Silver Peak于10月30日发布了补丁。尚未分配CVSS严重性评分。

滕珀尔霍夫说，他的团队在另外三家SD-WAN公司（均已修补）中发现了类似的漏洞，并将很快予以披露。

他写道：“我们研究了市场上排名前四的SD-WAN产品，发现了主要的远程代码执行漏洞。” “这些漏洞无需进行任何身份验证即可利用。”

顶级SD-WAN供应商过去曾遇到过问题。例如，三月，思科系统公司修复了三个高严重性漏洞，这些漏洞可能使经过身份验证的本地攻击者能够以root特权执行命令。一个月后，在Cisco的IOS XE中发现了类似的错误，该IOS XE是SD-WAN部署中使用的基于Linux的Cisco Internetworking操作系统（IOS）版本。

去年12月，在其Citrix Application Delivery Controller（ADC）和Citrix Gateway产品的各种版本中发现了一个严重的零日漏洞，该漏洞允许在SD-WAN实施中使用设备接管和RCE。宣布后，野外攻击和公共攻击迅速堆积起来。