【原创漏洞】Spring Cloud Config Server 任意文件读取漏洞

原创:平安银河实验室GalaxyLab

更多资讯和分析文章请关注银河安全实验室微信公众号(Galaxy-Lab)及网站(http://galaxylab.com.cn)

1.漏洞描述

-----------------------------------
平安集团银河实验室 安全研究人员发现Pivotal公司旗下产品 Spring Cloud Config Server 的安全漏洞(CVE-2019-3799)并第一时间向Pivotal公司进行报告。Pivotal公司发布了关键补丁更新公告 https://pivotal.io/security/cve-2019-3799

Spring Cloud Config一套开源分布式系统配置服务,为分布式环境提供外部配置服务支持。
Spring Cloud Config Server 路径穿越与任意文件读取漏洞,可通过构造的恶意请求直接读取服务器任意文件,风险较大。

影响范围:
Spring Cloud Config 2.1.0 to 2.1.1
Spring Cloud Config 2.0.0 to 2.0.3
Spring Cloud Config 1.4.0 to 1.4.5
其他不受支持的老版本 (如Spring Cloud Config1.3及其以下版本)

值得注意的是通过maven自动构建的应用,如果不指定
spring-cloud-config-server的版本,默认安装的还是spring-cloud-config-server 1.3.0不安全版本

2.修复措施

-----------------------------------
Spring Cloud Config 2.1.x 升级至 to 2.1.2
Spring Cloud Config 2.0.x u升级至 2.0.4
Spring Cloud Config 1.4.x 升级至 1.4.6
老版本升级到指定的安全版本
spring-cloud-config-server应部署在内网中并使用Spring Security进行用户身份鉴定。

Spring Security配置支官方文档Securing Spring Cloud Config Server

3.漏洞复现

-----------------------------------

GET /test/dev/master/..%252F..%252F..%252F..%252F..%252F..%252F..%252Fetc%252Fpasswd HTTP/1.1
Host: 0.0.0.0:8001

4.漏洞分析

-----------------------------------

Spring Cloud Config项目是一个解决分布式系统的配置管理方案。它包含了Client和Server两个部分,server提供配置文件的存储、以接口的形式将配置文件的内容提供出去,client通过接口获取数据、并依据此数据初始化自己的应用。Spring cloud使用git或svn存放配置文件,默认情况下使用git。

环境搭建:
Pom.xml 配置依赖

Application.yml 设置配置文件存放的远程仓库地址

启动文件

org/springframework/cloud/config/server/resource/ResourceController.java中可以查看http请求格式为@RequestMapping("/{name}/{profile}/{label}/**")

name为应仓库名称
profile为应配置文件环境
label 为git分支名
** 为具体文件名
实际测试中只需要label为存在的分支名即可,一般git仓库都存在master分支
所以通用poc地址为
/test/dev/master/..%252F..%252F..%252F..%252F..%252F..%252F..%252Fetc%252Fpasswd

传入参数后 会调用this.resourceRepository.findOne(name, profile, label, path)并根据配置文件中的仓库地址去组装新的地址并获取文件内容

我们跟入到org.springframework.cloud.config.server.resource的findOne方法中

findOne 中location为远程git地址下载到本地的tmp目录地址,然后和我们传入的path拼装为file:/var/folders/2t/2pcjgph96ms9jltyfnm5brr40000gn/T/config-repo-1763575875528585941/..%2F..%2F..%2F..%2F..%2F..%2F.-dev.%2Fetc%2Fpasswd

this.resourceLoader.getResource(path)方法为 spring.core中封装的获取资源文件方法,默认会还原URLdecode的地址并通过 ../../将前面的tmp路径地址吃掉,最终达到穿越到任意路径,读取任意文件的效果。

本文由 Galaxy Lab 作者:GalaxyLab 发表,其版权均为 Galaxy Lab 所有,文章内容系作者个人观点,不代表 Galaxy Lab 对观点赞同或支持。如需转载,请注明文章来源。
7

发表评论

*