Zyxel 认证绕过补丁分析 (CVE-2022-0342)

        Zyxel USG/ZyWALL系列固件版本4.20至4.70、USG FLEX系列固件版本4.50至5.20、ATP系列固件版本4.32至5.20、VPN系列固件版本4.30至5.20、NSG系列固件版本的CGI程序存在身份验证绕过漏洞V1.20 到 V1.33 补丁 4，这可能允许攻击者绕过 Web 身份验证并获得设备的管理访问权限。

Zyxel 如何管理 HTTP 身份验证

        在 Zyxel 设备上，Web 界面通过 Apache HTTP 服务器进行管理。主要配置文件是 /usr/local/zyxel-gui/httpd.conf 其中包含以下行：

LoadModule auth_zyxel_module modules/mod_auth_zyxel.so

此Apache 模块由 Zyxel 开发和维护，并管理身份验证过程。

登录过程会生成一个名为“authtok”的 cookie，用于在下一个请求中对用户进行身份验证。

比较补丁

将mod_auth_zyxel.so的两个版本与Bindiff进行比较，可以很容易地识别修复问题的修改例程：

“check_authtok”函数是Apache直接调用的函数，用于验证身份验证；“create_server_config”也已修改。

根据分析，可以看到部分代码已被删除：

易受攻击的伪代码是：

打补丁的是：

基本上，在某些情况下与神秘的“非 GUI 访问”相关的允许无需身份验证直接访问的所有代码都已被删除。

例程“get_server_conf”获取 /tmp/__HTTP_SERVER_CONFIG 文件的内容并将其放入一些变量中：

然后将这些变量与Apache 传递给“check_authtok”函数的数据结构的一部分进行比较。

根据Apache 文档，传递给函数的数据结构是“request_rec”，它在 http://svn.apache.org/repos/asf/httpd/httpd/trunk/include/httpd.h中定义

比较期间使用的第一个指针是“request_rec + 4”，这意味着 32 位处理器上结构的第二个元素（希望编译器优化没有混淆数据结构的顺序）。在这种情况下“conn_rec *connection;”：

struct request_rec {    /** The pool associated with the request */    apr_pool_t *pool;    /** The connection to the client */    conn_rec *connection;    /** The virtual host for this request */    server_rec *server;    /** Pointer to the redirected request if this is an external redirect */    request_rec *next;    /** Pointer to the previous request if this is an internal redirect */    request_rec *prev;

访问的第二个指针是“conn_rec”结构的第 4 个元素，即“apr_sockaddr_t *local_addr;” 在同一文件中定义：

struct conn_rec {    /** Pool associated with this connection */    apr_pool_t *pool;    /** Physical vhost this conn came in on */    server_rec *base_server;    /** used by http_vhost.c */    void *vhost_lookup_data;    /* Information about the connection itself */    /** local address */    apr_sockaddr_t *local_addr;    /** remote address; this is the end-point of the next hop, for the address     *  of the request creator, see useragent_addr in request_rec     */    apr_sockaddr_t *client_addr;

访问的第三个指针是apr_network_io.h文件中定义的 apr_sockaddr_t 的第 4 个元素，它是“apr_port_t端口；” :

239 struct apr_sockaddr_t {240     /** The pool to use... */241     apr_pool_t *pool;242     /** The hostname */243     char *hostname;244     /** Either a string of the port number or the service name for the port */245     char *servname;246     /** The numeric port */247     apr_port_t port;248     /** The family */249     apr_int32_t family;

因此，与 get_server_conf() 函数的结果进行比较的数据是收到请求的本地端口。

也可以通过查看“get_server_conf”函数访问的文件来确认这一点，该文件包含 Apache HTTP 服务器使用的主要端口：

问题的根本原因

我们需要了解为什么该检查会影响身份验证。由于检查是在套接字上进行的，我们可以假设两种不同的场景：

• 我们可以连接到其他端口，通过修改HTTP协议的“Host”头，去到不同的虚拟主机；

• 我们可以从一些虚拟主机访问一些 CGI，这些虚拟主机可通过与控制文件中存在的端口不同的端口访问。

从理论上讲，Apache HTTP Server 应该根据监听发生的端口和接口来保证环境的分离，因此我们的第一个假设不太可能是正确的。

让我们检查一下 Apache 在我们的系统上使用了哪些端口：

通过浏览器访问 TCP 端口 8008 我们得到：

貌似是2FA相关的东西，配置在/var/zyxel/service_conf/httpd_twofa.conf文件中：

访问 TCP 端口 54088 我们得到这个页面：

好像是和blocking alert page相关的东西，配置在/var/zyxel/service_conf/cf_blockpage_https.conf文件中：

通过查看Apache HTTP Server的主配置文件（/usr/local/zyxel-gui/httpd.conf）可以看到“cgi-bin”目录配置在全局区域，也就是说所有的CGI将可以在每个不同的虚拟主机上访问：

开发

将迄今为止发现的所有信息放在一起，利用起来非常容易。基于补丁，我们可以假设所有 CGI 都可以在 Apache 公开的所有接口上访问。

使用无效 cookie 通过标准端口访问 CGI 将返回身份验证错误：

但是通过非标准端口访问相同的 CGI 将提供对 CGI 的完全访问权限，因此也可以访问设备配置：

原文始发于微信公众号（Khan安全攻防实验室）：Zyxel 认证绕过补丁分析 (CVE-2022-0342)