VPN设备主要用于建立从互联网直接访问内部网络的连接。近期,我中心主办的国家信息安全漏洞共享平台(CNVD)对美国凹凸科技 (O2security) 生产的SSL-VPN设备进行分析,确认其存在多个高危漏洞。利用漏洞可远程控制VPN设备,进而窃取内部网络的敏感信息。CNVD测试发现漏洞还影响到多家国内网络设备厂商的代码同源产品,有数十家国内政府、高校和重要部门用户受到漏洞威胁。经多次协调,目前该公司仍未对漏洞进行应急响应。具体情况通报如下:
一、漏洞情况分析
凹凸科技(O2security) 是美国知名网络设备生产商。2013年6月和2014年1月,CNVD分析了该公司以PHP为开发语言的部分SSL-VPN设备存在的文件包含、远程代码执行、调试后门默认口令、信息泄露等漏洞(收录编号:CNVD-2013-06510、CNVD-2014-00666)。
(一)文件包含漏洞(CNVD-2013-06510)
部分设备存在一处漏洞页面(sub_ca_action.php),该页面对提交的POST请求未进行过滤,可以直接读取VPN设备操作系统中的文件,包括:系统配置文件、数据文件等,构成信息泄露风险。该漏洞也可被利用发起进一步的攻击。
(二)PHP代码执行漏洞(CNVD-2013-06510)
部分设备存在一处漏洞页面(minica_down.php),该页面对提交的POST请求未进行过滤,可通过构造特定的PHP代码向VPN设备上传后门文件,达到远程控制的目的。
(三)调试后门默认口令漏洞(CNVD-2013-06510)
部分设备存在一处调试功能页面(debug.php),用管理员权限账号(o2micro)和默认口令可连接成功,进而执行系统指令。
(四)文件包含漏洞(CNVD-2014-00666)
部分设备存在一处漏洞页面(暂不披露),该页面对提交的POST请求未进行过滤,可以下载读取、删除VPN设备操作系统中的任意文件,包括:配置文件、源码文件等,构成信息泄露和运行风险。该漏洞也可被利用发起进一步的攻击。
(五)PHP代码执行漏洞(CNVD-2014-00666)
部分设备存在多处文件上传漏洞页面(暂不披露),页面对提交的POST请求未进行过滤,可通过构造特定的PHP代码向VPN设备上传后门文件,达到远程控制的目的。
(六)信息泄露漏洞(CNVD-2014-00666)
部分设备未对管理控制界面对应的系统目录和文件做好访问权限控制,如:htdocs目录和httpd.conf文件,攻击者可以直接访问上述文件,获得页面源代码信息或可用于渗透攻击所用的设备配置文件信息。
二、漏洞影响评估
CNVD对上述漏洞的综合评级为“高危”。测试发现多家国内设备厂商生产的SSL-VPN设备采用了与凹凸科技(O2security) SSL-VPN设备代码同源的软件系统,同样会受到漏洞的影响。根据CNVD抽样检测结果,有数十家政府部门、高等院校以及企事业单位采用的SSL- VPN设备存在所述漏洞。目前,CNVD尚未能通过技术测试明确受漏洞影响的设备具体型号和版本。
三、漏洞处置情况和后续建议
CNVD在2013年6月向美国凹凸科技(O2security)邮件通报了部分漏洞情况;2014年1月16日,CNVD向美国凹凸科技 (O2security)驻中国研发部门通报了后续漏洞情况,均未获回应。此外,CNVD向受较大影响的国内3家设备厂商也通报了漏洞情况,要求提供漏洞解决方案并做好用户的应急响应工作。
为有效处置漏洞威胁,相关处置建议如下:
(一)建议国内VPN设备厂商进行自查,看是否有采用了与凹凸科技(O2security) SSL-VPN设备同源软件代码的产品,联系CNVD,协同对设备进行安全测试;
(二)凹凸科技(O2security) SSL-VPN设备用户可以联系生产厂商,要求提供漏洞解决方案。
CNCERT/CNVD将继续跟踪事件后续情况,做好国内相关用户受影响情况的监测和预警工作。如需技术支援,请联系CNCERT/CNVD。电子邮箱:vreport@cert.org.cn,联系电话:010-82990286。