2019年8月,白帽汇安全研究院观测到国外安全研究人员公布了针对Pulse Secure SSL VPN(保思安VPN)的多个漏洞说明,其中一个任意文件读取漏洞(CVE-2019-11510)利用门槛较低(在未授权的情况下即可利用),预计会对全球Pulse Secure SSL VPN造成较大影响。该漏洞是由于所引入的一项通过浏览器访问其他端口的新功能缺乏安全限制所导致的,任意攻击者都可在未经身份验证的情况下利用该漏洞,读取系统敏感文件,获取session、明文密码等敏感信息,从而非法入侵并操控VPN,从而进一步威胁企业内网服务。目前官方已发布了安全更新,主要影响了Pulse Connect Secure的9.0RX、8.3RX和 8.2RX版本。
Pulse Secure在全球拥有巨大安全市场,共有超过20000个公司组织使用了他们的设备,其中包括7-ELEVEN、ATLASSIAN、住友机械、推特等业界巨头。虽然此前该品牌的VPN所曝出漏洞较少,但从国外研究人员的分析来看,其内部代码还是存在编写不规范、缺乏安全限制等一系列问题,预计在今后将会曝出更多高危漏洞。
概况
目前FOFA系统最新数据(一年内数据)显示全球范围内共有102104个Pulse Secure SSL VPN服务。美国使用数量最多,共有33124个,法国第二,共有7080个,日本第三,共有5568个,英国第四,共有5446个,德国第五,共有5164个。
全球范围内Pulse Secure SSL VPN服务分布情况如下(仅为分布情况,非漏洞影响情况)。
中国大陆地区江苏省使用数量最多,共有1065个,上海市第二,共有738个,北京市第三,共有736个,广东省第四,共有285个,浙江省第五,共有109个。
危害等级
严重
漏洞原理
Pulse Secure自SSL VPN的8.2版本起引入了一个新特性HTML5 Access
,它可以帮助用户通过浏览器访问Telent、SSH和RDP。而为了处理静态资源,Pulse Secure在代码中创建了一个新的分支语句以扩展URL路径的使用方式,示例如下:
$ curl -I 'https://sslvpn/dana-na///css/ds.js'
HTTP/1.1 400 Invalid Path
$ curl -I 'https://sslvpn/dana-na///css/ds.js?/dana/html5acc/guacamole/'
HTTP/1.1 200 OK
攻击者可利用以上这种特殊的访问URL,直接读取系统敏感文件(例如/etc/passwd
),以及存储了用户sessions以及明文密码的文件。
可能存在敏感内容的文件路径如下:
/data/runtime/mtmp/system
/data/runtime/mtmp/lmdb/dataa/data.mdb
/data/runtime/mtmp/lmdb/dataa/lock.mdb
/data/runtime/mtmp/lmdb/randomVal/data.mdb
/data/runtime/mtmp/lmdb/randomVal/lock.mdb
漏洞影响
目前漏洞影响版本号包括:
Pulse Connect Secure: 9.0RX 8.3RX 8.2RX
9.1R1及以上版本和8.1RX及以下版本不受影响。
漏洞POC
目前FOFA客户端平台已经更新该Pulse Secure SSL VPN漏洞的检测POC。
POC截图
CVE编号
CVE-2019-11510
修复建议
1、官网已发布安全更新,用户可以通过网址https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101
获得。
2、如暂时无法更新到最新版本,请及时下线设备。
参考
[1] https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf
[2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510
[3] https://mp.weixin.qq.com/s/gIz3YL2xNpYLOBmGUG7rVg
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。