JumpServer日志读取漏洞自动化审计分析

0x00 JumpServer与漏洞介绍

JumpServer是一个开源的堡垒机,server端使用python编写开发,开源地址在https://github.com/jumpserver/jumpserver

在上周五被爆出一个远程命令执行漏洞,这个远程命令执行主要由一个log日志跨目录读取引发。

漏洞影响版本:

  • < v2.6.2
  • < v2.5.4
  • < v2.4.5
  • = v1.5.9
  • >= v.15.3

0x01 漏洞详情

漏洞主要由两部分组成:

  1. 跨目录读取log日志来获取token
  2. 利用获取的token构造ws通信payload,在jumpserver所管理的服务器进行命令执行。

本文主要对1部分进行分析,也是漏洞利用的前提关键条件。

log日志读取漏洞触发主要在apps/ops/ws.py 文件,关键代码为task_log_f = open(log_path, 'rb') ,位于wait_util_log_path_exist函数。

  def wait_util_log_path_exist(self, task_id):
      log_path = get_celery_task_log_path(task_id)
      while not self.disconnected:
          if not os.path.exists(log_path):
              self.send_json({'message': '.', 'task': task_id})
              time.sleep(0.5)
              continue
          self.send_json({'message': '\\r\\n'})
          try:
              logger.debug('Task log path: {}'.format(log_path))
              task_log_f = open(log_path, 'rb')
              return task_log_f
          except OSError:
              return None

0x02 日志读取漏洞调用链分析

  1. apps/ops/ws.py的receive函数引入污点

污点由websocket通信进来。查阅相关文档,函数receive中的text_data为用户可控的参数。

实际利用可读取默认log目录/opt/jumpserver/core/logs下的日志文件获取token等敏感信息。

漏洞利用进行命令执行的部分本文不进行赘述,可参考《Jumpserver 任意命令执行漏洞分析报告》这篇文章。

0x04 参考

  • 修复建议:《JumpServer 远程命令执行漏洞风险通告,腾讯安全全面检测》 https://mp.weixin.qq.com/s/yB7pSlG2ZFz65JDf5A-1Mg
  • 《Jumpserver 任意命令执行漏洞分析报告》https://mp.weixin.qq.com/s/mJ7nY1r2QWeNzaRK6aZViA

想了解Xcheck更多信息或者代码安全审计相关技术欢迎关注xcheck公众号~

本站文章资源均来源自网络,除非特别声明,否则均不代表站方观点,并仅供查阅,不作为任何参考依据!
如有侵权请及时跟我们联系,本站将及时删除!
如遇版权问题,请查看 本站版权声明
THE END
分享
二维码
海报
JumpServer日志读取漏洞自动化审计分析
JumpServer是一个开源的堡垒机,server端使用python编写开发,开源地址在https://github.com/jumpserver/jumps...
<<上一篇
下一篇>>