Supervisord远程命令执行漏洞分析(CVE-2017-11610)

Supervisord是一款由Python语言开发,用于管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。

近期,Supervisord曝出了一个需认证的远程命令执行漏洞(CVE-2017-11610),通过POST请求Supervisord管理界面恶意数据,可以获取服务器操作权限,存在严重的安全风险。


 

Supervisor介绍

Supervisor 是基于 Python 的进程管理工具,可以帮助我们更简单的启动、重启和停止服务器上的后台进程,是 Linux 服务器管理的效率工具。Supervisor有四个组件: 1. supervisord 运行Supervisor的后台服务,它用来启动和管理那些你需要Supervisor管理的子进程,响应客户端发来的请求,重启意外退出的子进程,将子进程的stdout和stderr写入日志,响应事件等。它是Supervisor最核心的部分。 2. supervisorctl 相当于supervisord的客户端,它是一个命令行工具,用户可以通过它向supervisord服务发指令,比如查看子进程状态,启动或关闭子进程。它可以连接不同的supervisord服务,包括远程机上的服务。 3. Web服务器 这是supervisord的Web客户端,用户可以在Web页面上完成类似于supervisorctl的功能。 4. XML-RPC接口 这是留给第三方集成的接口,你的服务可以在远程调用这些XML-RPC接口来控制supervisord管理的子进程。上面的Web服务器其实也是通过这个XML-RPC接口实现的。

漏洞简介

本次漏洞就出在XML-RPC接口对数据的处理上。 默认情况下Supervisor并不会开启这个接口,但这并不代表这个漏洞不重要,相反的是,在Supervisor的使用中,很多人喜欢利用web页面来管理,而不是使用上文中提到的supervisorctl命令行工具。使用web页面有一个方便之处,即通过简单配置,使用者可以在其他机器的浏览器上通过网址访问并控制Supervisor。省去非一定在本地配置的麻烦(例如在docker中使用Supervisor,就不用每次进入容器控制Supervisor)。 开启web访问的配置如下    

漏洞分析

本次分析从Supervisor入口出发,根据漏洞的相关披露,层层进行解析。 先从入口看起:Supervisord启动文件Supervisord.py。 因为事先知道攻击数据是通过http方式传入到sever端的,所以重点关注下Supervisord启动方法(run)中的启动http服务方法,这里是self.options.openhttpservers() Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第1张图片 Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第2张图片 跟入options.py文件中去: Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第3张图片     在这里可以看到self.httpservers = self.make_http_servers(supervisord) 在这里调用了make_http_servers()方法 在Options类中找到make_http_servers()方法:       可见这个方法是从supervisor.http中导入的,我们继续跟进http.py文件查看make_http_servers()方法的实现   Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第4张图片                           Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第5张图片       Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第6张图片                                         根据漏洞的披露,我们知道这个漏洞是在XML-RPC接口的调用上出现了问题,在上图代码的最后一行supervisor_xmlrpc_handler()方法,就是用来处理RPC调用的。 我们从supervisor的入口开始,一路顺藤摸瓜找到了罪魁祸首,接下来跟进supervisor_xmlrpc_handler()方法看一下出现漏洞的原因 supervisor_xmlrpc_handler方法在xmlrpc.py文件中实现, Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第7张图片         找到漏洞纰漏的traverse方法,可以看到supervisor_xmlrpc_handler()方法中的call函数将解析出来的method以及params传入tracerse方法中。 我们先来看下call函数在哪里被调用,以及method,params到底是什么: 在supervisor_xmlrpc_handler这个类中,有一个continue_request()函数,如下所示 Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第8张图片                   Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第9张图片                   在params, method = self.loads(data)一行中,可以看到params和method的产生,并且在这个函数最下面一行,可见调用了call()将返回值给了value。我们先看下这个类中的loads函数,如下所示: Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第10张图片                       可见params和method是由xml tag中的methodName和params中的值得来的。 上面说的有些抽象,为了方便下面漏洞的理解,下面举个例子:在这里利用python使用RPC协议给supervisord发一个请求,来看下RPC协议的结构和params、method分别是什么。 Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第11张图片         抓取的流量如下图: Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第12张图片                                 这里的supervisor.supervisord.options.warnings.linecache.os.system就是method参数值,而param的值就是touch /tmp/success1 正常的交互中,这两个值往往是method=supervisor.startProcess;param=要启动的应用名 现在call()函数已经明晰了,再看看call函数中的tracerse方法。下面继续跟入tracerse方法 Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第13张图片                           在tracerse方法中,将传入的method通过“.”来拆分,赋值给path 判断开头是否为“_”,如果是,则报错 然后看ob = getattr(ob, name, None)这行,getattr()是一个自省函数,下面举一个简单的例子说明下getattr() Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第14张图片             我们仔细分析下如下代码: Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第15张图片             在这里类似一个递归,将原本链状的method中的方法遍历出来,例如method原先的结构是a.b.c.d这里path列表就应该是[a,b,c,d],然后遍历name。通过ob = getattr(ob, name, None),首先将ob中的a方法赋给新的ob,再将新的ob(现在是a方法)中的b方法取出来赋给新的ob。以此类推,最终的ob会是链状结构最后一个方法(也就是d),然后传入params值,被执行 所以如果想攻击利用成功,必须找到一个调用链,例如如下调用链     下图是调用关系: Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第16张图片           Options中的warnings方法 Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第17张图片                     Warnings中的linecache方法 Supervisord远程命令执行漏洞分析(CVE-2017-11610)_第18张图片                   Linecache中的os方法

漏洞利用

 

解决方案

升级supervisor到最新版本或在配置中修改[inet_http_server]配置

查看原文:http://blog.nsfocus.net/supervisord-cve-2017-11610/

你可能感兴趣的:(Supervisord远程命令执行漏洞分析(CVE-2017-11610))