【漏洞通告】Citrix SD-WAN远程代码执行漏洞通告（CVE-2020-8271）

2020年11月8日， 安全研究者Ariel Tempelhof披露，Citrix SD-WAN中存在多个漏洞，影响除最新版本11.2.2,11.1.2b和10.2.8以外的多个版本，攻击者可以利用此漏洞执行任意代码。 近日漏洞利用方式被公开，深信服安全研究团队依据漏洞重要性和影响力进行评估，作出漏洞通告。

Citrix SD-WAN是由美国Citrix公司开发的一套广域网集中管理系统，通过虚拟化技术实现企业级的安全广域网，综合利用多条链路，实现负载均衡，并能配置、监控和分析WAN上的所有Citrix SD-WAN设备。

2.2.1 CVE-2020-8271

Citrix SD-WAN通过url匹配实现身份验证。其apache配置文件/etc/apache2/sites-enabled/talari中存在以下内容：

配置文件通过匹配url，如果路径符合正则表达式，则要求访问者拥有SSL CA证书文件。通常情况下执行这一操作的是合法的客户端，持有SD-WAN生成的证书文件。而该组件使用CakePHP解析url的程序如下：

这部分代码从系统的几个环境变量获取内容，其中PATH_INFO不为空，REQUEST_URI需要在://字符串之后有？时，会将REQUEST_URI的开头截断，这样使得Apache解析的uri和CakePHP传入的uri不一致。这可以被用来绕过客户端证书检查。

如以下的uri：

aaaaaaaaaaaaaaaaa/://?/collector/diagnostics/stop_ping

将被截断为：

/collector/diagnostics/stop_ping

这使得apache处理的是未截断的uri而不要求证书，而CakePHP解释截断后的uri而完成涉及敏感文件的操作。这个例子中的文件读取文件/tmp/pid_到变量$req_id，并且经过shell_exec进行执行。漏洞允许将带有命令的文件上传，并以该方法执行任意shell命令。

2.2.2 CVE-2020-8272

CakePHP将uri转换为端点函数参数，端点名称后面的路径的每个元素被视为处理程序函数的参数。而路由函数定义为：

Router::connect('/sdwan_center/nitro/v1/config_editor/:resource/*', array('controller' => 'restApi', 'resource' => '[a-zA-Z]+', 'action' => 'configEditor'));

处理程序函数定义为：

public function configEditor($params, $auth = false,$internal = false)

$auth参数正常情况下只能内部设置，但是当使用异常的参数传入时，可以覆盖原有的$auth变量的值。这使得可以无需验证访问configEditor功能。

2.2.3 CVE-2020-8273

端点AzureDeployment/createAzureDeployment将用户的数据编码为json格式并发送。存在以下代码：

这部分代码将json的一部分传入exec并执行，这导致攻击者可以在合法json数据中注入系统命令并将其执行。

【影响版本】

Citrix:SD-WAN:11.2 before 11.2.2;

Citrix:SD-WAN:11.1 before 11.1.2b;

Citrix:SD-WAN:10.2 before 10.2.8;

Citrix 公司已经针对该漏洞发布了更新，请访问以下链接并升级版本

https://support.citrix.com/article/CTX285061

【 深信服安全云眼 】在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【 深信服云镜 】在漏洞爆发第一时间即完成检测能力的发布，部署云端版云镜的用户只需选择紧急漏洞检测，即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力。

【 深信服下一代防火墙 】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【 深信服云盾 】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【 深信服安全感知平台 】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。