针对“方程式组织(Equation Group)”泄露的漏洞对4556银河国际在网防火墙设备影响的声明
发布时间:2016-12-27近日,自称为 “影子经纪人The Shadow Brokers”的黑客组织入侵了美国“方程式组织(Equation Group)”,获取了方程式组织所利用的漏洞,并将部分漏洞发布至互联网。从其公开的漏洞来看,包含针对防火墙产品的攻击方法。
4556银河国际研发攻防团队第一时间对此事件进行了跟踪分析,确认对于如下公布的漏洞利用方法,4556银河国际的在网防火墙设备均不受影响。
序号 | 漏洞说明 | 4556银河国际防火墙 受影响情况 |
1 | 远程HTTPDCookie溢出漏洞: 发送一个POST请求,Content-length始终设为0,Cookie中的Payload参数放置了一段shellcode代码,Cookie中的authhash参数通过设置可以触发一个缓冲区溢出漏洞 | 不受影响 |
2 | XXX管理端口溢出漏洞:XXX某些型号的防火墙管理端口默认在4000/TCP。往该端口发送握手报文,判断是正常的管理协议后可以构造指定防火墙版本号的攻击报文和编码后的shellcode,发往设备,可向固定路径上传远控木马。 | 不受影响 |
3 | XXX防火墙cookie溢出漏洞:XXX防火墙的HTTPS服务器在处理Cookie中的auth_id参数时可能存在一个堆栈缓冲区溢出漏洞,当参数的长度超过60字节时,返回地址将被覆盖。给auth_id参数设置了一个64字节的缓冲区,第60字节开始放置了一个返回地址。获得控制后将上传一个远控木马。 | 不受影响 |
4 | XXX防火墙cookie cid参数命令注入漏洞:XXX防火墙WEB管理界面的/cgi/maincgi.cgi程序在处理客户端传来的Cookie中的cid变量时存在命令注入漏洞,攻击者可以使用反引号执行任意命令。 | 不受影响 |
5 | XXX防火墙maincgi.cgi参数命令执行漏洞:XXX防火墙WEB管理界面的/cgi/maincgi.cgi程序在接收某些参数时,可以直接执行系统命令,这是该CGI程序自身支持的功能,但缺乏权限认证。 | 不受影响 |
6 | XXX防火墙CLI界面堆溢出漏洞:普通用户权限telnet/ssh登录成功后发送攻击payload,触发一个堆溢出。执行成功后会在防火墙里添加后门代码。后续可以通过bride-1100等程序连接并操作防火墙,直接读写、分配、释放防火墙内存。还可以在目标防火墙上植入BananaGlee木马。(CVE -2016-6367) | 不受影响 |
7 | 该防火墙可能允许用户执行ifconfig来检查网络接口信息,但对于ifconfig的参数进行安全检查时,没有检测$字符。攻击者可使用echo命令的–e参数来输出要执行的Shell命令,将’;’号用’\x3b’代替,’>’号用’\x3e’代替,将显示的命令传递给’bash -c’去执行。这样可以执行任意系统命令。 | 不受影响 |
8 | XXX防火墙SNMP溢出漏洞:攻击者需要知道防火墙的SNMP read community,同时telnet或者ssh端口可以访问。此漏洞是在请求一个较长的SNMP OID时会触发一个栈缓冲区溢出。攻击成功之后,攻击者使用telnet或者SSH无需口令(仍需知道用户名)即可登录防火墙。(CVE-2016-6366) | 不受影响 |
9 | XXX漏洞:需要设备开启ftp/telnet server且拥有level-3权限,通过ftp等将指定后门文件上传至设备,采用execute命令执行批处理文件,再通过已经上传的特定证书与该后门取得连接,达到控制设备的目的。 | 不受影响 |