在Cisco IOS XE操作系統的Cisco REST API虛擬服務容器中存在一個認證繞過漏洞,是由於REST API身份驗證服務默認啟用了一個API調試端點而導致的。
未經身份驗證的遠程攻擊者可以通過向目標服務器發送精心設計的HTTP請求來獲得id令牌,繞過身份驗證。該漏洞被標記為CVE-2019-12643。
背景
Cisco IOS XE是思科網絡互聯操作系統(IOS)的一個版本,它基於Linux操作系統,可在一個單獨的進程中執行各種典型的IOS功能。IOS XE可以在各種物理硬件上運行,比如網絡交換機、無線控制器、路由器以及虛擬化設備。從16.2版開始,IOS XE開始支持“服務容器”,通過使用Linux虛擬容器(LXC)和基於內核的虛擬機(KVM)技術,IOS XE平臺可直接託管各種應用。這些應用包括網絡監控代理以及各類網絡管控功能。
思科提供了一個服務容器,可將REST API功能添加到支持服務容器的IOS XE設備上,管理員可通過基於HTTP的API對設備進行管理(默認管理端口為HTTPS協議的55443)。
IOS XE REST API的身份驗證功能依賴於令牌。身份驗證服務會檢查用戶所提供的憑據,然後返回一個id令牌,用於後續請求的身份標識(短期)。客戶端通過如下HTTP請求來執行身份驗證:
/api/v1/auth/token-services
身份驗證成功後,服務器將返回一個JSON格式的id令牌。在客戶端後續請求API時會將該令牌放在報頭X-auth-token中。
IOS XE的REST API服務容器中存在一個身份繞過漏洞,這是由於在REST API web應用的默認配置中啟用了debug_tokens配置參數。REST API web應用是通過基於Python的Flask WSGI web應用框架編寫的。其中Flask-RESTful擴展使用一個自定義的ResourceRoute裝飾器來定義API端點。tokens.py模塊包含處理令牌服務端代碼以及一個基於應用配置文件api-config.ini中的debug_tokens參數影響的調試端點。默認情況下,debug_tokens被設置為yes,這可讓任何未經身份驗證的用戶通過訪問以下URI來查看服務器上所有當前有效的令牌:
/api/v1/auth/token-services/debug
未經身份驗證的遠程攻擊者可以通過訪問令牌服務的調試端點來利用此漏洞。最終繞過身份驗證,以管理員身份在目標服務器上登錄。
相關代碼
下面的代碼片段取自Cisco REST API管理服務容器的16.06.05版本,來自iosxe-remote-mgmt.16.06.05.ova的/opt/cisco/restful_api/src/api-config.ini文件:
而文件/opt/cisco/restful_api/src/crouter/api/resources/tokens.py:
利用
為了復現漏洞,你必須先按照官方文檔設置好REST API,然後創建一個15級的用戶,再通過一個無權限的用戶執行以下請求:
curl -v -X POST https://<host>:55443/api/v1/auth/token-services -H . "Accept:application/json" \\ -u "<username>:<password>" -d "" –insecure
/<password>/<username>/<host>
其中<host>為目標主機,<username>and<password>為15級用戶的用戶名和密碼。在運行了該命令後,就可以正式攻擊了。/<password>/<username>/<host>
默認情況下,以上這個PoC將檢索目標服務器上的所有身份令牌,我們可以使用第一個令牌來獲得設備上所有網絡接口的信息。
我們已在Cisco雲服務的路由器1000V的16.06.05版本上測試成功,其中運行REST API管理服務容器版本也為16.06.05。
補丁
思科在今年8月28日之前修復了這個漏洞(SA20190828)。他們發佈了REST API虛擬服務容器的修復版本,同時指出REST API在默認情況下是不啟用的,必須手動在IOS XE設備上進行安裝和激活。
特別感謝趨勢科技研究團隊的John Simpson和Dusan Stevanovic為該漏洞進行的詳盡分析。
本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場
來源:https://nosec.org/home/detail/3070.html
原文:https://www.zerodayinitiative.com/blog/2019/10/17/cve-2019-12643-cisco-ios-xe-authentication-bypass-vulnerability
白帽匯從事信息安全,專注於安全大數據、企業威脅情報。
公司產品:FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺。
為您提供:網絡空間測繪、企業資產收集、企業威脅情報、應急響應服務
閱讀更多 NOSEC安全訊息平臺 的文章
