51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Nginx暴露危漏洞CVE-2021-23017

作者:虫虫安全
安全 漏洞
日前著名Web服务器和反向代理服务器Nginx暴严重漏洞NS解析器Off-by-One堆写入漏洞,该漏洞存在于Nginx的DNS解析模块ngx_resolver_copy()。

日前著名Web服务器和反向代理服务器Nginx暴严重漏洞NS解析器Off-by-One堆写入漏洞,该漏洞存在于Nginx的DNS解析模块ngx_resolver_copy()。攻击者可以利用该漏洞进行远程DDos攻击,甚至远程执行。

概述

ngx_resolver_copy()在处理DNS响应时出现一个off-by-one错误,利用该漏洞网络攻击者可以在堆分配的缓冲区中写一个点字符(.’, 0x2E)导致超出范围。 所有配置解析器语法的(resolver xxxx)Nginx实例可以通过DNS响应(响应来自Nginx的DNS请求)来触发该漏洞。 特制数据包允许使用0x2E覆盖下一个堆块元数据的最低有效字节,利用该漏洞攻击者,可以实现Ddos拒绝服务,甚至可能实现远程代码执行。

由于Nginx中缺乏DNS欺骗缓解措施,并且在检查DNS事务ID之前调用了易受攻击的功能,因此远程攻击者可能能够通向中毒服务器注入受毒的DNS响应来利用此漏洞。

漏洞影响

严重等级: 高

漏洞向量: 远程/DNS

确认的受影响版本: 0.6.18-1.20.0

确认的修补版本: 1.21.0,1.20.1

供应商: F5,Inc.

状态: 公开

CVE: CVE-2021-23017

CWE: 193

CVSS得分: 8.1

CVSS向量:CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

漏洞分析

当Nginx配置中设置resolver时,Nginx DNS解析器(core/ngx_resolver.c)用于通过DNS解析多个模块的主机名。

Nginx中通过ngx_resolver_copy()调用来验证和解压缩DNS响应中包含的每个DNS域名,接收网络数据包作为输入和指向正在处理的名称的指针,并在成功后返回指向包含未压缩名称的新分配缓冲区的指针。调用整体上分两步完成的,

  • 计算未压缩的域名大小的长度len并验证输入包的合法性,丢弃包含大于128个指针或包含超出输入缓冲区边界的域名。
  • 分配输出缓冲区,并将未压缩的域名复制到其中。

第1部分中的大小计算与第2部分中的未压缩的域名之间的不匹配,导致一个len的一个off-by-one错误,导致允许以一个字节为单位写一个点字符超出name->data的边界。

当压缩名称的最后一部分包含一个指向NUL字节的指针时,就会发生计算错误。 尽管计算步骤仅考虑标签之间的点,但每次处理标签并且接着的字符为非NUL时,解压缩步骤都会写入一个点字符。当标签后跟指向NUL字节的指针时,解压缩过程将:

  1. // 1) copy the label to the output buffer, 
  2. ngx_strlow(dst, src, n); 
  3. dst += n; 
  4. src += n; 
  5. // 2) read next character, 
  6. n = *src++; 
  7. // 3) as its a pointer, its not NUL, 
  8. if (n != 0) { 
  9. // 4) so a dot character that was not accounted for is written out of bounds 
  10. *dst++ = '.'; 
  12. // 5) Afterwards, the pointer is followed, 
  13. if (n & 0xc0) { 
  14. n = ((n & 0x3f) << 8) + *src; 
  15. src = &buf[n]; 
  16. n = *src++; 
  18. // 6) and a NULL byte is found, signaling the end of the function 
  19. if (n == 0) { 
  20. name->len = dst - name->data; 
  21. return NGX_OK; 

如果计算的大小恰好与堆块大小对齐,则超出范围的点字符将覆盖下一个堆块长度的元数据中的最低有效字节。这可能会直接导致下一个堆块的大小写入,但还会覆盖3个标志,从而导致 PREV_INUSE被清除并 IS_MMAPPED被设置。

  1. ==7863== Invalid write of size 1 
  2. ==7863== at 0x137C2E: ngx_resolver_copy (ngx_resolver.c:4018) 
  3. ==7863== by 0x13D12B: ngx_resolver_process_a (ngx_resolver.c:2470) 
  4. ==7863== by 0x13D12B: ngx_resolver_process_response (ngx_resolver.c:1844) 
  5. ==7863== by 0x13D46A: ngx_resolver_udp_read (ngx_resolver.c:1574) 
  6. ==7863== by 0x14AB19: ngx_epoll_process_events (ngx_epoll_module.c:901) 
  7. ==7863== by 0x1414D4: ngx_process_events_and_timers (ngx_event.c:247) 
  8. ==7863== by 0x148E57: ngx_worker_process_cycle (ngx_process_cycle.c:719) 
  9. ==7863== by 0x1474DA: ngx_spawn_process (ngx_process.c:199) 
  10. ==7863== by 0x1480A8: ngx_start_worker_processes (ngx_process_cycle.c:344) 
  11. ==7863== by 0x14952D: ngx_master_process_cycle (ngx_process_cycle.c:130) 
  12. ==7863== by 0x12237F: main (Nginx.c:383) 
  13. ==7863== Address 0x4bbcfb8 is 0 bytes after a block of size 24 alloc'd 
  14. ==7863== at 0x483E77F: malloc (vg_replace_malloc.c:307) 
  15. ==7863== by 0x1448C4: ngx_alloc (ngx_alloc.c:22) 
  16. ==7863== by 0x137AE4: ngx_resolver_alloc (ngx_resolver.c:4119) 
  17. ==7863== by 0x137B26: ngx_resolver_copy (ngx_resolver.c:3994) 
  18. ==7863== by 0x13D12B: ngx_resolver_process_a (ngx_resolver.c:2470) 
  19. ==7863== by 0x13D12B: ngx_resolver_process_response (ngx_resolver.c:1844) 
  20. ==7863== by 0x13D46A: ngx_resolver_udp_read (ngx_resolver.c:1574) 
  21. ==7863== by 0x14AB19: ngx_epoll_process_events (ngx_epoll_module.c:901) 
  22. ==7863== by 0x1414D4: ngx_process_events_and_timers (ngx_event.c:247) 
  23. ==7863== by 0x148E57: ngx_worker_process_cycle (ngx_process_cycle.c:719) 
  24. ==7863== by 0x1474DA: ngx_spawn_process (ngx_process.c:199) 
  25. ==7863== by 0x1480A8: ngx_start_worker_processes (ngx_process_cycle.c:344) 
  26. ==7863== by 0x14952D: ngx_master_process_cycle (ngx_process_cycle.c:130) 

虽然目前还没有Poc出来,理论上该漏洞可以被用来进行远程代码执行。

攻击向量分析

DNS响应可以通过多种方式触发漏洞。

首先,Nginx必须发送了DNS请求,并且必须等待响应。 然后,可以在DNS响应的多个部分进行投毒:

  • DNS问题QNAME,
  • DNS回答名称,
  • DNS会回答RDATA以获得CNAME和SRV响应,
  • 通过使用多个中毒的QNAME,NAME或RDATA值制作响应,可以在处理响应时多次击中易受攻击的函数,从而有效地执行多次脱机写入。

此外,当攻击者提供中毒的CNAME时,它将以递归方式解决,从而在执行过程中触发了额外的OOB写操作 ngx_resolve_name_locked() 调用ngx_strlow()(ngx_resolver.c:594)和其他OOB读取期间 ngx_resolver_dup()(ngx_resolver.c:790)和 ngx_crc32_short()(ngx_resolver.c:596)。

用于“example.net”请求的DNS响应示例负载,其中包含被污染的CNAME:

稍微不同的有效负载(poc.py中的有效负载)填充了足够的字节以覆盖 next_chunk.mchunk_size带点的最低有效字节:

24字节的标签导致分配了24字节的缓冲区,该缓冲区填充有24字节+一个超出范围的点字符。

漏洞修复和解决

通过向域名解析时,在域名末尾写入的伪造的点字符分配一个额外的字节可以缓解此问题。

受漏洞影响的配置

  1. daemon off; 
  2. http{ 
  3. access_log logs/access.log; 
  4. server{ 
  5. listen 8080; 
  6. location / { 
  7. resolver 127.0.0.1:1053; 
  8. set $dns example.net; 
  9. proxy_pass $dns; 
  13. events { 
  14. worker_connections 1024; 

 

责任编辑:赵宁宁 来源: 今日头条
漏洞网络安全网络攻击
相关推荐
CVE-2021-21193:Chrome 0-Day漏洞
近日,研究人员发现一个Chrome0Day漏洞的在野利用。

2021-03-16 10:52:56

Chrome浏览器漏洞
CVE-2021-3115——Golang Windows版本 RCE漏洞
研究人员在GolangWindows版本中发现一个RCE漏洞。

2021-01-31 10:31:29

Windows10操作系统RCE漏洞
CVE-2021-42299:Surface Pro 3 TPM绕过漏洞
微软发布关于CVE202142299漏洞的安全公告,该漏洞是TPM(TrustedPlatformModule,可信平台模块)绕过漏洞,影响SurfacePro3笔记本。

2021-10-29 11:52:16

谷歌漏洞TPM
CVE-2021-22005:VMware vCenter 9.8分漏洞PoC
CVE202122005漏洞是Analytics服务中的任意文件上传漏洞,CVSS评分9.8分,未经过认证的远程攻击者可以通过上传精心伪造的文件到受影响的vCenter服务器部署来利用该漏洞以转型命令和软件。

2021-10-06 13:54:12

漏洞PoC攻击
CVE-2021-40444:Windows MSHTML 0day漏洞利用
近日,多个安全研究人员向微软分别报告了MSHTML中的一个0day远程代码执行漏洞。并发现了该漏洞的在野利用攻击活动。

2021-09-10 11:41:20

漏洞Windows 微软
CVE-2021-43267:Linux TIPC模块任意代码执行漏洞
SentinelLab研究人员发现LinuxKernelTIPC(TransparentInterProcessCommunication,透明进程间通信)模块中的一个安全漏洞,攻击者利用该漏洞可以在本地或远程区块下在kernel内执行任意代码,并完全控制有漏洞的机器。

2021-11-08 11:52:17

漏洞LinuxLinux TIPC
微软Office Word远程代码执行漏洞|CVE-2021-40444
Microsoft正在调查MSHTML中一个影响MicrosoftWindows的远程代码执行漏洞的报告。

2021-09-23 15:20:18

微软漏洞代码
AFL实战:测试sudo提权漏洞CVE-2021-3156
最近sudo发现了一个严重的缓存溢出提权漏洞CVE20213156,这很正常。不正常的是这个漏洞已经潜伏了10年之久,为什么10年才发现呢?如果用常规的测试方法需要多久才能发现?对此有人进行了Fuzz测试,请和虫虫一起学习一下过程。

2021-01-30 18:31:00

sudo缓存溢出漏洞
CVE-2021-34481:Windows Print Spooler再爆安全漏洞
微软发布安全公告称,发现一个影响WindowsPrintSpooler服务的安全漏洞,漏洞CVE编号为CVE202134481,CVSS评分为7.8分。

2021-07-21 10:04:02

安全漏洞Windows
NIST:2021年共报告18378个安全漏洞
2021年共报告18378个安全漏洞,高危漏洞数量减少。其中高危漏洞3646个,中危漏洞11767个,低危漏洞2965个。

2021-12-19 11:55:25

NIST安全漏洞网络安全
CVE-2022–26923漏洞分析
本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。

2022-06-14 09:00:21

漏洞补丁
CVE-2020-8554:Kubernetes中间人攻击漏洞
12月4日,Kubernetes产品安全委员会公开了一个新的Kubernetes漏洞——CVE20208554。该漏洞是中危漏洞,影响所有的Kubernetes版本,而且目前仍然没有修复。

2020-12-28 10:23:00

中间人攻击漏洞Kubernetes
CVE-2020-25213漏洞在野利用
2020年12月,Unit42研究人员发现有攻击者尝试利用WordPressFileManager(文件管理器)插件中的文件上传漏洞。

2021-02-09 10:31:04

漏洞webWordPress F
Safari大量漏洞 用户安全岌岌可
据Sophos安全研究员JoshuaLong介绍,目前Windows版本Safari约有121个未修复的漏洞,用户使用这款浏览器将面对很大风险。而苹果发布的关于Safari6的安全内容中也进行了介绍,表示这些漏洞会被恶意网站利用攻击用户。

2012-08-08 09:31:43

CVE-2022-21882:Windows权限提升漏洞
Windows本地权限提升漏洞可以在Windows10系统获得管理员权限。

2022-02-10 11:52:10

Windows漏洞Windows 10
CVE-2015-0235:幽灵(GHOST)漏洞解析
Qualys公司在进行内部代码审核时,发现了一个在GNUC库(glibc)中存在的nsshostnamedigitsdots函数导致的缓冲区溢出漏洞。这个bug可达可以通过gethostbyname()函数来触发,本地和远程均可行。

2015-01-29 11:47:35

惠普发布打印机固件更新 修复CVE-2021-39238缓冲区溢出漏洞
惠普已证实旗下大批打印机型号易受到CVSS评级为9.3的“严重”缓冲区溢出漏洞,并且分配了CVE202139238这个编号。

2021-12-01 10:20:18

漏洞惠普打印机
CVE-2020-7200:HPE 0day漏洞
近日,HewlettPackardEnterprise(HPE)公开了HPESystemsInsightManager(SIM)软件专用版Windows和Linux版本的一个0day安全漏洞。

2020-12-17 10:28:27

漏洞网络攻击网络安全
CVE-2020-14386: Linux kernel权限提升漏洞
Unit42研究人员在Linuxkernel源代码中发现了一个内存破坏漏洞,漏洞CVE编号为CVE202014386。攻击者利用该漏洞可以从特权用户提权到Linux系统的root用户。

2020-10-12 10:28:15

漏洞内存破坏网络攻击
聊聊CVE漏洞编号和正式公开那些事
获得CVE编号并不等于这个漏洞是有价值的,甚至说这个漏洞都不一定是真实存在的。那么,什么样的漏洞是有价值的呢一个CVE漏洞编号又是如何诞生的呢?

2017-12-21 08:06:40

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服