更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)
2022年12月,Fortinet官方发布了一个FortiGate sslvpnd中的基于堆溢出的远程代码执行漏洞(CVE-2022-42475),CVSS评分高达9.8。今年3月和6月又分别发布了影响FortiOS和FortiProxy管理界面的缓冲区下溢漏洞(CVE-2023-25610),以及FortiOS sslvpnd中的另一个堆溢出漏洞(CVE-2023-27997)。Fortinet虽然及时发布了更新,修补了漏洞,但仍有数十万设备容易受到该类漏洞影响。由于该类漏洞都是对输入长度处理不当导致堆的缓冲区溢出,利用方式也极其相似,本文将重点对今年发布的两个漏洞进行分析。
CVE-2023-25610是web管理页面的漏洞,根据官方通报该漏洞影响FortiOS 7.2.0-7.2.3版本,本文使用7.2.2进行分析。
使用gdbserver远程挂载httpsd进程,运行poc验证代码,程序崩溃,根据程序中部分字符猜测应该是内存分配的时候发生错误。
通过栈回溯,找到出错的位置在init文件中的0x0000000000c57ba9处,这里调用了apr_palloc函数。
在调用apr_palloc函数之前下断点,看到了传入的Content-Length值,继续运行程序发生崩溃。
出错的位置在call apr_palloc,原因是分配空间太大,造成程序崩溃,反编译对代码逻辑进行分析。
函数中v5保存Content-Length的值,apr_palloc分配大小为v5+1的内存以供使用。在后面的循环中,每次拷贝0x2000大小的数据块到分配的缓冲区。在判断边界的过程中使用了一个int类型的变量v3,大小为32字节,每次循环对其进行累加。进行边界判断的原始变量v5为int64类型,大小为64字节。当足够多的数据进行累加过后,v3会变成负数,在调用memcpy的时候,dst目的地址从a2+v3变成a2+(-v3),导致堆下溢。要利用该漏洞,必须要使传入的数据超过0x7FFFFFFF,由于数据量过大,利用难度较高。
除此之外,该漏洞在6.0.x版本的固件中有不同的表现形式。
代码获取Content-Length的值保存到变量v11,v11为64位。在分配v11+1大小内存的时候,进行了一次强制类型转换,int64类型的值转换成了int类型,变成32位。举例说明,当传入0x1 0000 1000,经过强制转换会变成0x1001。后面在边界判断的时候,又使用了64位的原始值进行判断,造成明显的堆上溢。
该漏洞位于允许用户对VPN进行身份验证的web页面上。攻击者通过GET或者POST向/remote/hostcheck_validate发送一个名为enc的http参数,可进行远程命令执行。
这里的enc参数是一个包含种子(4字节)、大小(2 字节)和数据的结构,其中大小size和数据均进行加密,该字段在新版本中是没有使用的。
salt是服务器创建的随机值,可以通过向/remote/info发出 GET 请求来检索该值。密钥流的计算方式如下(图片来源于网络):将计算得到md5值再次进行md5运算得到下一个md5值。
越界写入数据:
由于该漏洞只能控制部分数据,那么如何顺序写入特定数据呢?根据动态调试,发现每次发送相同大小的数据,会重复分配在相同的地址,那么我们就可以反复触发该漏洞。我们知道数据解密是通过MD5秘钥流和堆空间的数据异或来进行,最后在末尾置0。而异或有一个特性,和相同的数据异或两次,不改变原始数据的内容,怎么利用这种特性呢?举个例子:假如我们要在偏移为1000的位置写入连续的数据。过程如下:
第一次传入size为999的enc数据,与密钥流异或后将1000偏移处的数据置为0;
第二次传入size为1000的enc数据,偏移为1000的数据0会和MD5中的某个字节进行异或,得到的结果也就是md5处的值。即通过爆破种子能够控制md5秘钥流中的这个字节的数据就能够成功写入。
循环该过程,因为前面写入的数据经过偶数次异或操作不会改变,那么就能在缓冲区写入连续的数据。下面是爆破种子的脚本。
#encoding:"UTF-8"import hashlibimport binasciiimport struct, reimport threadingmagic = b"GCC is the GNU Compiler Collection."salt="2a52dee0".encode()given_len =0x1000def md5_loop(seed,loop_len):ks = hashlib.md5(salt + seed + magic).digest()for i in range(0,loop_len):ks = hashlib.md5(ks).digest()ks=binascii.hexlify(ks)return ksdef Blast_Md5(salt, given_len):for i in range(1,0xffffff):seed = 0x10000000 + iseed = format(seed, 'x')str_len=len(seed)if (str_len<8):seed="0"*(8-str_len) +seedseed = seed.encode()loop_len= int((given_len-14)/16+1)md5_result = md5_loop(seed,loop_len)print(md5_result)if(md5_result[14:16]==b'50'):length = struct.pack("<H", given_len)print("length",length)print("success seed:",seed)breakif __name__ == "__main__":Blast_Md5(salt,given_len)
这是一个控制偏移为1000处数据为0x50的爆破脚本,因为md5运算很快,几秒钟就能得到合适的种子值(SEED),这里得到的值不唯一。
[1]https://wzt.ac.cn/2023/05/29/CVE-2023-25610
[2]https://wzt.ac.cn/2022/12/15/CVE-2022-42475
[3]https://forum.butian.net/index.php/share/2166
[4]https://labs.watchtowr.com/xortigate-or-cve-2023-27997
[5]https://blog.lexfo.fr/xortigate-cve-2023-27997.html
[6]https://wzt.ac.cn/2023/03/02/fortios_padding
[7]https://docs.fortinet.com/document/fortigate-private-cloud/7.2.0/vmware-esxi-administration-guide/615472/configuring-port-1
[8]https://bestwing.me/CVE-2022-42475-FortiGate-SSLVPN-HeapOverflow.html?ref=www.ctfiot.com#
启明星辰积极防御实验室(ADLab)
ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截止目前,ADLab已通过CVE累计发布安全漏洞1100余个,通过 CNVD/CNNVD/NVDB累计发布安全漏洞近3000个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、移动与物联网安全研究、工控安全研究、信创安全研究、云安全研究、无线安全研究、高级威胁研究、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。
原文始发于微信公众号(ADLab):FortiGate多个堆溢出漏洞分析
