Giới Thiệu

Trong bài viết này, mình sẽ phân tích lỗ hổng CVE-2023-36845 được công bố bởi Juniper vào ngày 17 tháng 8 năm 2023. Sự cố này ảnh hưởng đến các thiết bị Firewall SRX và Switch EX, cho thấy tầm quan trọng của việc nâng cấp hệ thống để đảm bảo an toàn cho thiết bị của bạn.

Các Lỗ Hổng Liên Quan

Juniper đã công bố nhiều CVE, bao gồm: CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847, và CVE-2023-36851 đều có độ nghiêm trọng cao với điểm CVSS tối đa lên đến 9.8.

Phân Tích Lỗ Hổng

CVE-2023-36845 cho phép kẻ tấn công điều chỉnh biến môi trường PHPRC của PHP, từ đó cho phép thực hiện mã từ xa (RCE). Mặc dù PoC được công bố bởi WatchTowr Labs đã khẳng định điều này, một số hạn chế trong PoC đã khiến mình phải tìm kiếm cách khác để xác minh lỗ hổng này.

Hướng Tiếp Cận Mới

Thay vì chỉ tập trung vào việc tải lên một file php, mình đã sử dụng đặc điểm của web server GoAhead để khai thác lỗ hổng. Thay vì gọi file từ hệ thống, mình gửi dữ liệu trực tiếp vào biến PHPRC bằng cách sử dụng STDIN từ FreeBSD.

Kỹ Thuật RCE

Mình đã điều chỉnh payload để thực thi mã PHP mong muốn mà không cần phải tải lên file. Kết quả là mình có thể thực thi mã tùy ý trên hệ thống. Sau khi có được quyền truy cập hệ thống, mình đã thử các lệnh cơ bản và cuối cùng đã lấy được cookie phiên làm việc của người dùng, điều này giúp mình có quyền admin.

Kết Luận

Với nhiều thiết bị Juniper còn đang hoạt động và có thể tiếp cận qua Internet, lỗ hổng này thực sự là một mối đe dọa lớn. Việc nâng cấp hệ điều hành và giới hạn quyền truy cập vào J-Web là cần thiết để giảm thiểu rủi ro bảo mật.

Khuyến nghị: Những người quản trị hệ thống nên cập nhật thiết bị ngay lập tức và kiểm tra các thiết lập bảo mật để đảm bảo tính an toàn cho môi trường mạng của mình.
source: viblo